```markdown
CISA Adds Actively Exploited Linux Root Access Bug CVE-2026-31431 to KEV
# CISA تهيب بأمناء الشبكات المغربية لاتخاذ الإجراء بعد اكتشاف ثغرة خطيرة في نواة لينوكس CVE-2026-31431
**معاينة:** CISA أضافت ثغرة خطيرة في نواة لينوكس (CVE-2026-31431) لكاتالوج الثغرات المتأثرة استغلالها فعليًا. الثغرة تسمح للمستخدمين المحليين بتحديث الصلاحيات إلى جذور قاعدية دون تعديل ملفات التخزين. الإصلاح متوفر فنواة الإصدارات 6.18.22، 6.19.12، والنطاق 7.0. المطورين والمهندسين في المغرب مدعوين لتطبيق التصحيحات على النظم وبيئات الحاويات فورًا.
---
### فهم الثغرة (CVE-2026-31431)
CVE-2026-31431 ثغرة **رفع صلاحيات محلية (LPE)** في نواة لينوكس، تصنف بمعدل CVSS 7.8 (خطورة عالية). تسمح للناجحين العمليات بكسب **الوصول النهائي** عبر عيب في **نظام تشفير المعتمد على الهوية**.
الثغرة، المعروفة بـ "**Copy Fail**" من قبل باحثي Theori وXint، تسمح المهاجمين بتغيير **بيانات سرية في 기억 النواة** لملفات قابلة للقراءة مثل `/usr/bin/su`. هدا الاستغلال يسمح إدخال **كود ودود** يُنفذ بجانب جذور النظام. ما يجعل هاد الثغرة خطيرة خصوصاً **بسهولة الاستغلال** ووجود **برنامج خبيث بلغة بايثون (732 بايت)**. البرنامج يستخدم دوال نظامية بسيطة، ما يجعل الكشف عنه صعباً.
---
### تفاصيل رئيسية والتقويم الزمني
#### 📅 متى تم تضمين الثغرة؟
ال깊اء نتج من **ثلاثة تغييرات في الشيفرة**، تاريخية:
- **2011**
- **2015**
- **2017**
هدى التغييرات، بالمفردة **غير ضارة**، اندمجت مع الزمن إليها تشكل السيناريو الاستغليالي الحالي.
#### 🚨 استغلال فعلي وتدخل CISA
في **1 ماي 2026**، أضافت CISA America الشغرة CVE-2026-31431 لكتالوج الثغرات المستثمرة فعليًا بعد **تأكد من الهجومات الفعلية**. رغم عدم كشف التفاصيل، لاحظ فريق أبحاث Microsoft Defender نشاط اختبار أولي قد يزيد الإستماعات.
#### 🔧 توفر التصحيحات
الناشرات عرفت **إطلاق تصحيحات** فنواة الإصدارت:
- **6.18.22**
- **6.19.12**
- **7.0.0**
ال.getColumnIndex الأمريكية (FCEB) له تأريخ نهائي **15 ماي 2026** لتطبيق التصحيحات.
---
### الأثر على البيئات التكنولوجية المغربية
#### 🐳 خطر على البيئات الحاوية والمن indebted
الثغرة تشكل خطورة متزايدة على **Docker، LXC، Kubernetes**. تؤدي إلى هتك **العزلة الحاوية** عبر استغلال نظام تشفير AF_ALG مدمج، مجدل المحطة بالتالي **إلى تس سيلا الأساس**.
> **ملاحظة**: تغييرات الذاكرة "page cache" تسمح بписать كود قوي في ملفات دون تعديل قاعدة البيانات، بدورها **تشل الاكتشاف التقليدي**.
#### ⚠️ أهمية الفرصة المحلية
رغم أن الثغرة **ليست قابلة للاستغلال عبر الشبكة مباشرة**، يمكن **ربطها بتطورات متعددة** لمصلحة السيطرة الكاملة، مثل:
- الوصول عبر **SSH**
- وصلات **CI/CD مكرهة**
- **حاويات محتاجة قليلة**
هذا يجعل الثغرة خطيرة في البيئات السحابية المشتركة أو العامة، حيث لم يستبعد الوصول المحلي للمستخدمين غير الموثوقين.
---
### استراتيجيات تقليل المخاطر للمطورين المغاربة
1. **تطبيق التصحيحات بشكل عاجل**
- استخدم نواة إصدارات: **6.18.22، 6.19.12، أو 7.0.0**.
- تحقق من توفر التصحيح من الناشر الرسمي (مثل: Ubuntu، Debian، Red Hat).
2. **تعطيل AF_ALG إذا لم تكن تحتاجه**
- يمكن تعطيل المودول `algif_aead` عبر الأمر:
```bash
modprobe -r algif_aead
```
3. **فرض القفلان الشبكة والصلاحيات**
- خذل توجيهات الوصول للمشتعلين عبر **قواعد الجدار وصلاحيات المستخدمين**.
- تأكد أن المستخدمين بقالو يعرفوا الوصول إلى النماذج أو واجهات API التشفيروية غير ضرورية.
4. **ملاحقة البيئات الحاوية**
- شيك من تكوين Docker/LXC/Kubernetes يوفر AF_ALG.
- استخدم أدوات مثل **Sysdig** أو **eBPF** للكشف عن مpellier المعاد.
---
### عدم اليقين والمخاطر المعروفة
- **المدى الدقيق للاستغلال**: CISA لم تقل تفاصيل عن التوزيع أو المضيف.
- **نشاط المهاجمين**:거 Microsoft أشار لنشاط اختبار، ولكن بلا تحقيق عمليات فعلية.
- **الأثر على الحاويات**: رغم أن Kaspersky ربطتها بالارتقاء للجذور، ما يعرف هانت الثغرة متضمنة ضمن البيئات آخرها.
---
### الخلاصة
CVE-2026-31431 توجد **أهمية تطبيق التصحيحات عاجلة** ومراقبة متواصلة للثغرات فبيئات لينوكس. الثغرة باعمر 9 سنوات الآن تعكس إشكالية في كشف المخاطر على مدار الزمن.
عقل للمطورين والمهندسين في المغرب:
- تطبيق التحديثات الأكثر تحديثًا.
- تأمين بيئة الحاويات.
- مراقبة أي محاولات رفع الصلاحيات.
сохранو إشراف CISA كتالوج لكل جديد، وعطعوا أهمية للأمن في العمليات السحابية وال محلية.
---
**المصدر**
[CISA Adds Actively Exploited Linux Root Access Bug CVE-2026-31431 to KEV](https://thehackernews.com/2026/05/cisa-adds-actively-exploited-linux-root.html)
