كشف تقرير نشره موقع The Verge عن ثغرة أمنية خطيرة تهدد معظم توزيعات نظام Linux Kernel منذ عام 2017.
تحمل الثغرة اسم Copy Fail ورقم التعريف CVE-2026-31431، وتتيح لأي مستخدم محلي الحصول على صلاحيات الجذر (Root) عبر سكربت بسيط بلغة بايثون. لذلك أثارت هذه الثغرة قلقًا واسعًا في مجتمع الأمن السيبراني.
خطورة ثغرة Copy Fail
تكمن خطورة الثغرة في أنها لا تحتاج إلى صلاحيات عالية للاستغلال. لذلك يمكن لمستخدم عادي تنفيذ هجوم تصعيد صلاحيات بسهولة.
وعلاوة على ذلك، يعمل السكربت المستخدم في الاستغلال دون تعديلات تقريبًا على معظم التوزيعات مثل Ubuntu وRed Hat وSUSE وAmazon Linux. وبالتالي، يزيد ذلك من حجم التهديد بشكل كبير.
كيف اكتُشفت الثغرة؟
اكتشفت شركة Theori الأمنية الثغرة أثناء استخدام أدوات تحليل آلية مدعومة بالذكاء الاصطناعي. لذلك ركز الفحص على جزء التشفير داخل نواة لينكس.
وبعد أقل من ساعة، رصد النظام مشكلة في تعامل النواة مع أخطاء النسخ داخل واجهة AF_ALG. وبالتالي بدأ الباحثون تحليل المشكلة بشكل أعمق.
آلية عمل الثغرة داخل النواة
تظهر المشكلة عند تفاعل واجهة AF_ALG مع استدعاء النظام splice(). لذلك يحدث خلل في معالجة فشل النسخ داخل الذاكرة.
وعلاوة على ذلك، يسمح هذا الخلل بكتابة 4 بايتات في ذاكرة النظام بشكل دقيق. وبالتالي يمكن استغلال ذلك لتعديل بيانات حساسة داخل النواة.
كيف تتحول 4 بايتات إلى Root؟
قد تبدو 4 بايتات كمية صغيرة، لكنها كافية لتغيير بيانات مهمة داخل الذاكرة. لذلك يمكن للمهاجم تعديل ملفات أو عمليات ذات صلاحيات مرتفعة.
وبالتالي يتمكن المستخدم من ترقية نفسه إلى صلاحيات الجذر دون الحاجة إلى استغلال معقد.
تأثير الثغرة على التوزيعات الكبرى
أكدت تقارير أمنية أن الثغرة تؤثر على معظم توزيعات لينكس الحديثة. لذلك تشمل الأنظمة المستخدمة في الخوادم والسحابة.
وعلاوة على ذلك، تعمل الثغرة بشكل مشابه عبر أنظمة Ubuntu وRHEL وSUSE وAmazon Linux. وبالتالي يتوسع نطاق الخطر ليشمل بيئات إنتاجية ضخمة.
خطر أكبر في بيئات السحابة والحاويات
تزداد خطورة الثغرة داخل بيئات الحوسبة السحابية وcontainers. لذلك يمكن لمستخدم محدود الصلاحيات الوصول إلى النظام الأساسي (Host).
وعلاوة على ذلك، قد يؤدي ذلك إلى ما يعرف بـ “Container Escape”. وبالتالي يمكن للمهاجم التنقل بين الأنظمة داخل نفس البنية التحتية.
صعوبة اكتشاف الهجوم
لا تترك ثغرة Copy Fail آثارًا واضحة على نظام الملفات. لذلك لا تستطيع أدوات الحماية التقليدية اكتشافها بسهولة.
وبالتالي تعمل الهجمات بالكامل داخل الذاكرة، مما يجعل عملية الرصد أكثر تعقيدًا.
إثبات المفهوم (PoC) يزيد الخطر
زاد القلق بعد نشر كود استغلال علني في 29 أبريل 2026. لذلك تمكن الباحثون من تشغيله على عدة توزيعات رئيسية.
وعلاوة على ذلك، يعتمد الاستغلال على سكربت بايثون صغير لا يتجاوز 732 بايتًا. وبالتالي أصبح استغلال الثغرة سهلًا وسريعًا.
استجابة الشركات الأمنية
بدأت شركات عدة في إصدار تحديثات عاجلة لمعالجة المشكلة. لذلك أصدرت CloudLinux تصحيحات للنواة.
وعلاوة على ذلك، قدمت حلول تحديث مباشر مثل KernelCare لتقليل توقف الأنظمة. وبالتالي حاولت الشركات تقليل تأثير التحديثات على الإنتاج.
ضرورة إعادة تشغيل الأنظمة
رغم التحديثات، تؤكد التقارير أن إصلاح الثغرة يتطلب إعادة تشغيل النظام. لذلك لا يكفي تثبيت التحديث فقط.
وبالتالي يجب إعادة تحميل نواة النظام لضمان إزالة الخطر بالكامل.
دور الذكاء الاصطناعي في اكتشاف الثغرة
اكتُشفت الثغرة باستخدام أدوات مسح مدعومة بالذكاء الاصطناعي. لذلك تمكنت هذه الأدوات من تحليل الكود بسرعة عالية.
وعلاوة على ذلك، ساعد الذكاء الاصطناعي في اكتشاف أخطاء منطقية عميقة داخل النواة. وبالتالي أثبت دوره المتزايد في الأمن السيبراني.
مخاطر مستقبلية محتملة
يحذر الخبراء من استخدام نفس تقنيات الذكاء الاصطناعي من قبل المهاجمين. لذلك قد تتسارع عمليات اكتشاف الثغرات مستقبلاً.
وعلاوة على ذلك، يمكن تطوير استغلالات أكثر تعقيدًا خلال وقت قصير. وبالتالي يصبح الأمن السيبراني أكثر تحديًا.
الخلاصة
تمثل ثغرة Copy Fail واحدة من أخطر الثغرات التي تستهدف أنظمة لينكس منذ سنوات. لذلك تؤكد التقارير أهمية التحديث الفوري للأنظمة.
وفي النهاية، يوضح هذا الاكتشاف أن حتى الأنظمة المستقرة مثل Linux Kernel قد تخفي أخطاء خطيرة لا تظهر إلا بأدوات تحليل متقدمة، مما يعيد تشكيل مفهوم الأمن السيبراني في العصر الحديث.
