من جهاز الحافة إلى قلب الشبكة: سلسلة هجمات تجمع بين F5 BIG‑IP وثغرات نواة لينكس

لهذا يلجأ المهاجمون إلى استغلال ثغرات رفع الصلاحيات المحلية (LPE) في نواة لينكس.

ثغرة Copy Fail (CVE‑2026‑31431)

تم الكشف عن ثغرة Copy Fail في أبريل 2026، وهي تؤثر على نواة لينكس منذ عام 2017 تقريباً. تكمن المشكلة في مكون algif_aead ضمن واجهة التشفير الخاصة بالمستخدم (AF_ALG).

تسمح هذه الثغرة لعملية غير مميزة بفساد ذاكرة page cache في النظام، وهو ما يمكن استغلاله للحصول على صلاحيات root خلال وقت قصير.

لكن من المهم فهم نقطة أساسية: هذه الثغرة لا يمكن استغلالها عن بُعد بمفردها؛ إذ يحتاج المهاجم إلى وصول محلي للنظام، مثل صدفة حصل عليها عبر ثغرة أخرى.

ثغرة Dirty Frag (CVE‑2026‑43284)

مصطلح Dirty Frag يشير إلى مجموعة ثغرات في مكونات الشبكة داخل نواة لينكس، خصوصاً وحدات IPsec ESP مثل esp4 وesp6.

تتيح هذه الثغرات لمستخدم محلي غير مميز التلاعب بذاكرة page cache عبر مسارات الشبكة داخل النواة، مما يسمح أيضاً بالحصول على صلاحيات root في العديد من توزيعات لينكس.

ومثل Copy Fail، تُعد Dirty Frag ثغرة بعد الاختراق (post‑exploitation)، أي أنها تتطلب وجود وصول مسبق للنظام قبل استخدامها.

المرحلة الثالثة: الانتقال من جهاز الحافة إلى أنظمة المؤسسة

بعد الحصول على صلاحيات root على جهاز الحافة، يصبح بإمكان المهاجم الوصول إلى معلومات حساسة مخزنة على الجهاز، مثل:

• بيانات اعتماد المستخدمين
• رموز المصادقة (tokens)
• الشهادات الرقمية
• إعدادات البنية الداخلية

وقد رصد الباحثون الأمنيون حوادث انتقل فيها المهاجمون من جهاز F5 مخترق إلى أنظمة داخلية مثل خوادم Confluence المستخدمة للتعاون وتوثيق المعرفة داخل المؤسسات.

غالباً ما تتمتع أجهزة الحافة بعلاقات ثقة واسعة داخل الشبكة، مما يسمح للمهاجمين بعد السيطرة عليها بـ:

• الوصول إلى شبكات الإدارة الداخلية
• سرقة ملفات تعريف الارتباط أو الشهادات
• الاستعلام عن خدمات الهوية
• التحرك إلى خوادم التطبيقات الداخلية

وتصف Microsoft هذا النوع من الهجمات بأنه اتجاه متزايد في عالم الاختراقات الحديثة، لأن الأجهزة الحدودية مكشوفة خارجياً لكنها تتمتع بثقة كبيرة داخل الشبكات المؤسسية.

لماذا تعتبر هذه السلسلة الهجومية فعّالة؟

قوة هذه السلسلة تأتي من دمج عدة ثغرات قد تبدو محدودة عند النظر إليها بشكل منفصل:

• ثغرة RCE في جهاز الحافة تمنح المهاجم نقطة دخول.
• ثغرات رفع الصلاحيات في لينكس تمنحه السيطرة الكاملة على النظام.
• موقع الجهاز داخل الشبكة يسمح بالتحرك نحو الأنظمة الداخلية.

بهذا الشكل يمكن لتحكم محدود على جهاز حدودي أن يتحول بسرعة إلى اختراق شامل للشبكة المؤسسية.

أولويات الدفاع للمؤسسات

التصدي لهذا النوع من الهجمات يتطلب معالجة كل مرحلة من مراحل السلسلة الهجومية.

تحديث أنظمة F5 BIG‑IP فوراً

يجب تحديث أنظمة BIG‑IP APM المتأثرة لمعالجة الثغرة CVE‑2025‑53521، خصوصاً الأجهزة المكشوفة على الإنترنت.

تحديث نواة لينكس

تطبيق التحديثات الأمنية التي تعالج:

• CVE‑2026‑31431 (Copy Fail)
• CVE‑2026‑43284 وثغرات Dirty Frag الأخرى

هذه الثغرات تؤثر على معظم توزيعات لينكس الحديثة منذ عام 2017.

تقييد الوصول إلى الصدفة على الأجهزة الحدودية

بما أن ثغرات Copy Fail وDirty Frag تتطلب تنفيذ محلي، فإن تقليل أو تعطيل الوصول إلى shell على الأجهزة الحدودية يقلل بشكل كبير من خطر الاستغلال.

تعطيل بعض وحدات النواة عند تأخر التحديث

إذا تعذر التحديث فوراً، يمكن مؤقتاً تعطيل وحدات النواة المرتبطة بثغرات Dirty Frag مثل esp4 وesp6 بعد التأكد من عدم تأثير ذلك على العمليات التشغيلية.

تعزيز أمان الحاويات (Containers)

يمكن لثغرات النواة أن تسمح بالهروب من الحاويات. لذلك يُنصح بـ:

• تجنب الحاويات ذات الامتيازات العالية
• تقليل الوحدات المتاحة في النواة
• عزل أعباء العمل غير الموثوقة

مراقبة مؤشرات ما بعد الاختراق

تشمل المؤشرات التي يجب مراقبتها:

• جلسات shell غير متوقعة على أجهزة الحافة
• تغييرات مفاجئة في الصلاحيات إلى root
• تحميل غير طبيعي لوحدات النواة
• اتصالات خارجية من أنظمة البنية التحتية
• محاولات وصول إلى أنظمة داخلية مثل منصات التعاون أو خدمات الهوية

ملاحظة مهمة

تشير تقارير الأمن السيبراني إلى أن النمط العام للهجوم—اختراق جهاز حافة ثم رفع الصلاحيات والتحرك داخل الشبكة—موثق بالفعل.

لكن الأدلة العامة التي تثبت استخدام هذه المجموعة المحددة من الثغرات معاً في حملة واحدة واسعة ما زالت محدودة. يمكن تقنياً ربط هذه الثغرات في سلسلة واحدة، إلا أن أساليب المهاجمين قد تختلف من بيئة إلى أخرى.

الدرس الأمني الأهم

كانت أجهزة الحافة تُعتبر تاريخياً أجهزة أمنية محصنة. لكن الواقع اليوم يظهر أنها أصبحت أهدافاً عالية القيمة كنقطة دخول أولى للهجمات.

وعندما يعمل الجهاز على نظام لينكس داخلياً، فإن أي ثغرة رفع صلاحيات في النواة قد تتحول إلى جزء من سلسلة اختراق أكبر. لذلك تبقى سرعة التحديث، وضبط الوصول، والمراقبة الدقيقة لأجهزة الحافة عناصر أساسية في حماية شبكات المؤسسات الحديثة.