ثغرة «Copy Fail» الخطيرة في لينكس: سطر بايثون واحد يكفي للقفز إلى صلاحيات الجذر

يكشف تقرير نشره موقع The Verge أن معظم توزيعات لينكس الصادرة منذ عام 2017 تعاني من ثغرة خطيرة في نواة النظام تحمل الاسم «Copy Fail» والمعرفة بالرقم CVE-2026-31431، تتيح لأي مستخدم محلي – حتى لو كانت صلاحياته محدودة – القفز إلى صلاحيات الجذر Root بالكامل عبر سكربت بايثون صغير لا يتجاوز بضع مئات البايتات. 

خطورة الثغرة لا تكمن فقط في اتساع نطاق الأنظمة المتأثرة، بل في بساطة استغلالها؛ فبحسب شركة Theori الأمنية التي اكتشفت المشكلة، يعمل السكربت نفسه تقريبًا بلا تعديلات على أوبونتو وAmazon Linux وRed Hat Enterprise Linux وSUSE وغيرها من التوزيعات الرئيسية، دون الحاجة إلى ضبط خاص لكل نظام أو إعادة ترجمة الكود في كل مرة.

كيف اكتُشفت ثغرة تمس تقريبًا كل لينكس منذ 2017؟

بحسب ما تنقله The Verge عن تقرير Theori، جرى اكتشاف الثغرة خلال فحص آلي لمنظومة التشفير في نواة لينكس باستخدام أدوات «مسح مدعومة بالذكاء الاصطناعي»، استهدف جزء crypto/ من الكود لبحث عن أنماط خطأ منطقية في التعامل مع البيانات. 

في غضون نحو ساعة واحدة من تشغيل هذا الفحص، برزت مشكلة في كيفية تعامل النواة مع أخطاء النسخ داخل واجهة مأخذ التشفير AF_ALG، وهي واجهة تستخدمها تطبيقات عديدة للوصول إلى خدمات التشفير التي يوفرها النظام. 

هذه المشكلة، كما تشرح تحليلات لاحقة من مايكروسوفت وشركات أمنية أخرى، سمحت للمهاجمين باستغلال تفاعل معقّد بين مأخذ AF_ALG وبين نداء النظام splice() ومعالجة غير صحيحة لحالة فشل في عملية النسخ داخل ذاكرة النواة، ما أدى في النهاية إلى إمكانية الكتابة فوق 4 بايتات بشكل مضبوط داخل «ذاكرة الصفحات» page cache التي تستخدمها النواة لإدارة الملفات.

هذه القدرة على الكتابة فوق 4 بايتات في مكان محسوب بدقة داخل ذاكرة النواة كافية، في سياق مدروس، لتغيير بيانات حساسة مرتبطة ببرامج ذات امتيازات عالية (مثل ملفات SUID أو العمليات المملوكة للجذر)، ما يفتح الباب أمام ترقية صلاحيات مستخدم عادي إلى Root دون الحاجة إلى استغلال سباقات زمنية أو حساب إزاحات معقدة في الذاكرة، وهو ما يجعل الثغرة من نوع «القفز المضمون» تقريبًا في ظروف عديدة.

استغلال صغير  

شركة Sophos، في تحليل مفصل تطرقت إليه The Verge، وصفت Copy Fail بأنها ثغرة تصعيد صلاحيات محلية عالية الخطورة بدرجة CVSS 7.8، تؤثر على التوزيعات المشحونة منذ 2017، وتتيح لمستخدم محلي غير مميز الوصول إلى صلاحيات الجذر عبر التلاعب بملفات ثنائية ذات امتيازات عالية في ذاكرة الكاش الخاصة بالنظام. 

ما يجعل التأثير مضاعفًا هو أن الاستغلال ينتفخ على نحو خاص في بيئات السحابة والحاويات (containers)، حيث يُعتبر تشغيل كود غير موثوق ضمن حسابات محدودة الصلاحيات أمرًا طبيعيًا، سواء في خطوط CI/CD أو بيئات الاختبار أو استضافة التطبيقات متعددة المستأجرين.

في هذه البيئات، يحذر خبراء من مايكروسوفت وField Effect من أن ثغرة مثل Copy Fail تقلب المعادلة رأسًا على عقب؛ فمهاجم يتمكن من تشغيل كود داخل حاوية واحدة أو حساب محدود يمكنه – إذا لم يُرقّع النظام – القفز إلى صلاحيات الجذر على مستوى المضيف Host نفسه، ما يعني إمكانية الهروب من الحاوية، والتنقل الجانبي بين حاويات أخرى، والوصول إلى بيانات تخص مستخدمين أو عملاء آخرين على نفس الخادم. 

الأسوأ أن هذا الهجوم يحدث بالكامل داخل فضاء النواة ولا يغيّر الملفات على القرص، ما يجعل كثيرًا من أنظمة مراقبة تكامل الملفات أو حلول مكافحة الفيروسات التقليدية غير قادرة على رصد التلاعب، لأنه لا يترك أثرًا واضحًا في نظام الملفات.

إثبات استغلال علني ودعوة عاجلة للتحديث وإعادة التشغيل

زيادة القلق حول Copy Fail جاءت بعد نشر كود استغلال علني Proof-of-Concept في 29 أبريل 2026، أكدت Sophos وشركات أخرى أنه يعمل بنجاح على عدة توزيعات رئيسية دون تعديلات تُذكر. 

يشير التقرير إلى سكربت بايثون لا يتعدى 732 بايتًا قادر على «تجذير» أنظمة أوبونتو وأمازون لينكس وRHEL وSUSE بسرعة عالية وباعتمادية مدهشة، ما جعل الخبراء يدقون ناقوس الخطر ويدعون المؤسسات إلى التعامل مع الثغرة كأولوية قصوى في أنظمة الإنتاج، خصوصًا تلك التي تستضيف مستخدمين متعددين أو تقدم خدمات حوسبة مشتركة.

استجابة لذلك، سارعت شركات توزيعات مثل CloudLinux إلى إصدار تحديثات للنواة تعالج الخلل في مكوّن algif_aead في واجهة التشفير، مع إتاحة حلول تحديث مباشر للنواة مثل KernelCare لتقليل الحاجة إلى فترات توقف طويلة. مع ذلك، تشدد معظم التحليلات، بما فيها تقارير مايكروسوفت وField Effect، على أن إغلاق الثغرة بالكامل يتطلب في النهاية إعادة تشغيل الأنظمة بعد تثبيت التحديثات، لأن الثغرة تضرب في قلب النواة ولا يمكن إصلاحها عبر تحديثات فرعية دون إعادة تحميل الكيرنل.

دروس من «Copy Fail» 

تعود The Verge في ختام تقريرها إلى زاوية لافتة: أن Copy Fail لم تُكتشف عبر مراجعة يدوية للكود أو صدفة أثناء استغلال ميداني، بل عبر أداة مسح مدعومة بالذكاء الاصطناعي استطاعت خلال ساعة تقريبًا رصد خطأ منطقي عميق في جزء من النواة ظل مستخدمًا لسنوات دون أن يلاحظه أحد. 

يسلط هذا الضوء على واقع جديد في عالم الأمن السيبراني؛ فالأدوات الذكية باتت قادرة على كشف ثغرات «حلم» لطالما افترض الباحثون أن رؤيتها في البرية أمر غير مرجح، مثل ثغرة محلية تعمل بشكل شبه موحّد على أغلب توزيعات لينكس دون تعقيدات.

لكن الوجه الآخر للعملة هو أن نفس القدرات يمكن أن يستخدمها المهاجمون أيضًا للبحث السريع عن نقاط ضعف عميقة في أنظمة أساسية، ثم تطوير استغلالات بسيطة وقابلة لإعادة الاستخدام على نطاق واسع. 

وبينما يطمئن بعض الخبراء إلى أن المجتمع التقني استجاب بسرعة عبر التحديثات والتحذيرات، تبقى Copy Fail تذكيرًا بأن أنظمة نعتبرها «مجرّبة ومستقرة» قد تخفي في أعماقها أخطاء منطقية خطرة لم تظهر إلا لأن أدوات جديدة باتت قادرة على تفكيكها، ولأن المهاجمين – شأنهم شأن الباحثين يمتلكون اليوم عقولًا إلكترونية مساعدة لا تكل ولا تمل من فحص الكود سطرًا بعد سطر.