ثغرة Fragnesia في نظام Linux تمنح المهاجمين صلاحيات الجذر فوراً عبر إتلاف الذاكرة

يواجه مسؤولو الأنظمة التي تعمل ببيئات Linux تهديداً أمنياً حرجاً إثر اكتشاف ثغرة Fragnesia في نظام Linux، والتي تمنح المهاجمين المحليين غير المصرح لهم صلاحيات الجذر (Root Access) بشكل فوري. تستهدف هذه الثغرة، التي تحمل الرمز CVE-2026-46300 وسجلت تقييماً خطراً بلغ 7.8 درجات، النظام الفرعي XFRM ESP-in-TCP. وتسمح الثغرة للمهاجمين بتعديل محتويات الملفات المخصصة للقراءة فقط داخل ذاكرة التخزين المؤقت لصفحات النواة، مما يؤدي إلى اختراق النظام بالكامل.

اكتشف الباحث الأمني ويليام بولينج من شركة Zellic، بالتعاون مع فريق V12 Security، أن ثغرة Fragnesia ظهرت كأثر جانبي غير مقصود للتحديثات الأخيرة التي هدفت إلى معالجة ثغرة Dirty Frag الأصلية. وبحسب شركة Wiz، ينبع الخلل من خطأ منطقي يتعلق بسوء التعامل مع أجزاء الصفحات المشتركة أثناء دمج المخزن المؤقت للبيانات. يمكن للمهاجمين استغلال هذا الخلل عبر دمج الصفحات المدعومة بالملفات في قائمة انتظار استقبال TCP قبل انتقال الاتصال إلى وضع espintcp ULP.

من خلال إتلاف ذاكرة التخزين المؤقت لصفحات النواة، ينجح الاستغلال في الكتابة فوق الملف الثنائي /usr/bin/su المخصص للقراءة فقط. تتيح عملية الكتابة في الذاكرة للمهاجمين رفع امتيازاتهم فوراً إلى صلاحيات الجذر. وقد أصدر فريق V12 Security بالفعل رمز إثبات المفهوم (PoC) للاستغلال، على الرغم من تأكيد شركة Microsoft عدم وجود أدلة على استغلال الثغرة في هجمات نشطة حتى الآن.

نظراً لأن الثغرة تمنح صلاحيات الجذر فوراً عبر تحقيق القدرة على الكتابة في الذاكرة، يجب على المؤسسات التحرك بسرعة لتأمين بنيتها التحتية. وتُعد هذه الثغرة ثالث خلل يؤدي إلى رفع الامتيازات المحلية (Privilege Escalation) في نظام لينكس يتم اكتشافه خلال أسبوعين فقط، بعد الكشف عن ثغرتي Copy Fail وDirty Frag.

وقد صدرت تحذيرات أمنية للتوزيعات الرئيسية التالية:

• توزيعة AlmaLinux
• توزيعة Amazon Linux
• توزيعة CloudLinux
• توزيعة Debian
• توزيعة Gentoo
• توزيعة Red Hat Enterprise Linux
• توزيعة SUSE
• توزيعة Ubuntu

لحماية أنظمتك، يمكنك تطبيق إجراء تخفيف مؤقت عبر تعطيل وحدات ESP المعرضة للخطر باستخدام القائمة السوداء للوحدات النمطية، وهو نفس الإجراء الوقائي الذي استُخدم سابقاً مع ثغرة Dirty Frag. وقد أصدرت شركتا AlmaLinux وCloudLinux بالفعل أنوية محدثة للإصدارات المدعومة. وأكد مطورو CloudLinux أن العملاء الذين طبقوا إجراءات التخفيف الخاصة بثغرة Dirty Frag لا يحتاجون إلى اتخاذ أي إجراء إضافي حتى يتم نشر الأنوية المحدثة بالكامل. في غضون ذلك، تُجري شركة Red Hat تقييماً لتأكيد ما إذا كانت إجراءات التخفيف الحالية تشمل الثغرة الجديدة، بينما لا تزال شركة Ubuntu تقيّم حالة التحديثات عبر جميع إصداراتها.

يسلط الظهور السريع لثغرات Copy Fail وDirty Frag وFragnesia الضوء على مشكلة منهجية خطيرة في كيفية صيانة الأنظمة الفرعية المعقدة لنواة لينكس (Linux Kernel). إن حقيقة ولادة ثغرة Fragnesia عن طريق الخطأ من رحم التحديث الأمني لثغرة Dirty Frag تثبت أن التسرع في إصلاح الأخطاء المنطقية العميقة في النواة غالباً ما يقدم نواقل هجوم جديدة كلياً. ومع ظهور ثلاث ثغرات لرفع الامتيازات المحلية خلال 14 يوماً فقط، تواجه بيئات العمل المؤسسية إرهاقاً غير مسبوق في تتبع التحديثات.

يجب على المؤسسات إعطاء الأولوية لاستراتيجيات الدفاع المتعمق بدلاً من الاعتماد الحصري على التحديثات التفاعلية. لم يعد الاعتماد على طبقة أمان واحدة أمراً مجدياً عندما تتسبب التحديثات الأمنية ذاتها في إتلاف ذاكرة التخزين المؤقت للنواة. وإلى أن تكتمل عملية المراجعة الرسمية للتحديث الأمني الخاص بشبكة netdev، يجب على مسؤولي الأنظمة فرض القائمة السوداء للوحدات النمطية بصرامة لمنع المستخدمين غير المصرح لهم من استغلال النظام الفرعي XFRM ESP-in-TCP.