نشر كود Proof-of-Concept لثغرة CVE-2026-31635 لتصعيد الصلاحيات فـ Linux Kernel

نشر كود Proof-of-Concept لثغرة CVE-2026-31635 لتصعيد الصلاحيات فـ Linux Kernel

خلاصة: كود الاستغلال لثغرة CVE-2026-31635، لي هي ثغرة ديال تصعيد الصلاحيات محليا (local privilege escalation) فـ rxgk subsystem التابع لـ Linux kernel، ولا دابا منشور للعموم. هاد الثغرة جاية من واحد النقص فـ الحماية ديال copy-on-write، وهادشي كيخلي مهاجمين بلا صلاحيات يكتبو فـ الذاكرة ديال processes لي عندها صلاحيات عالية، أو فـ ملفات حساسة بحال /etc/shadow و /etc/sudoers. غير التوزيعات لي مكونفيگورية فيها CONFIG_RXGK — بحال Fedora و Arch Linux و openSUSE Tumbleweed — هي لي مقيوسة. التقييم ديال CVSS هو 7.5.

شنو واقع

نهار 9 ماي 2026، باحثين أمنيين من Zellic و V12 بلغو على ثغرة تصعيد الصلاحيات فـ rxgk subsystem فـ Linux kernel. الباحثين توصلو بخبر بلي هاد الثغرة تدار ليها ترقيع فـ upstream، ولكن كود ديال proof-of-concept تنشر للعموم من بعد.

هاد الثغرة، لي تشهرات بسمية DirtyDecrypt (أو DirtyCBC)، كاينة فـ الدالة rxgk_decrypt_skb()، لي كادير فك التشفير (decryption) لـ socket buffers لي داخلين فـ جهة الاستقبال. على حساب Luna Tong، الشريك المؤسس ديال Zellic، المشكل جاي من "كتابة فـ pagecache ديال rxgk حيت خاص حماية COW [copy-on-write] فـ rxgk_decrypt_skb."

نظام Linux كيستعمل الحماية ديال copy-on-write باش يمنع الكتابة فـ صفحات الذاكرة المشتركة (shared memory pages) من أنها تأثر على البيانات ديال processes أخرى. ملي كطرا كتابة فـ شي صفحة مشتركة، الـ kernel كيصايب نسخة خاصة بيه هي الأولى. الغياب ديال هاد الحماية (COW guard) فـ rxgk_decrypt_skb() كيعني بلي البيانات لي كتكتب خلال فك التشفير كتدوز لمناطق فـ الذاكرة لي من المفروض تكون محمية.

أي مهاجم يقدر يستغل هادشي باش يكتب بيانات فـ الذاكرة ديال processes لي عندها امتيازات عالية أو فـ page cache ديال ملفات حساسة بحال /etc/shadow ولا /etc/sudoers أو SUID binaries — وهادشي كامل كيتعتبر نواقل (vectors) لتصعيد الصلاحيات محليا.

ثغرة DirtyDecrypt هي جزء من عائلة كبر ديال ثغرات متعلقة ببعضياتها كتقيس الميكانيزمات ديال copy-on-write. شركة Zellic كتقيمها كنوع (variant) من ثغرات Copy Fail (CVE-2026-31431) و Dirty Frag (CVE-2026-43284 و CVE-2026-43500) و Fragnesia (CVE-2026-46300). ثغرة Copy Fail تكشفو عليها باحثين من شركة Theori نهار 29 أبريل 2026، وكتستهدف الواجهة ديال AF_ALG cryptographic socket. موراها بسبع أيام بانت Dirty Frag لي وسعات مساحة الهجوم بـ جوج ديال page-cache write primitives. أما Fragnesia فكتستهدف XFRM ESP-in-TCP subsystem.

التسلسل الزمني ديال الإفصاحات (disclosures) زرب بزاف ملي واحد الترقيع ديال ثغرة CVE-2026-43284 تدار ليه merge نهار 5 ماي 2026. الحظر (embargo) على التفاصيل ديال Dirty Frag تسالا قبل الوقت ملي جا باحث أمني — ماكانش فخبارو النافذة ديال الإفصاح المنسق — ودار تحليل للترقيع، وهادشي أدى لنشر عام ومستقل ديال الثغرة.

علاش هادشي مهم

بالنسبة لمديري النظم والمطورين، ثغرة DirtyDecrypt كتمثل طريق مباشر باش تاخد root access فـ الأنظمة المقيوسة. مستخدم محلي بلا امتيازات يقدر ياخد صلاحيات كاملة على مستوى الـ kernel، ويتجاوز ضوابط الوصول (access controls) العادية.

فـ البيئات ديال الـ containers، الخطر كيفوت الجهاز الفردي. شي worker node خدامة بـ Linux kernel مصاب تقدر تخلي مهاجم يخرج من الـ pod (pod escape) ويخترق البنية التحتية الأساسية كاملة.

الظهور ديال بزاف ديال الثغرات المرتبطة بـ copy-on-write فـ بضعة أسابيع كيدل على ضعف بنيوي فـ الطريقة ديال تسيير الذاكرة فـ الـ kernel، لي كيستغلوه المهاجمين حاليا. التوفر ديال كود PoC للعموم كيطيح الحواجز باش يتم تسليح هاد الثغرات (weaponization).

الأنظمة المقيوسة و CVEs

• Linux kernel (التوزيعات لي مفعلة فيها CONFIG_RXGK: Fedora, Arch Linux, openSUSE Tumbleweed, AlmaLinux, Amazon Linux, CloudLinux, Gentoo, Red Hat, SUSE, Ubuntu, Rocky Linux)

  • CVE-2026-31635 (CVSS 7.5)
  • CVE-2026-31431 (Copy Fail)
  • CVE-2026-43284 (Dirty Frag)
  • CVE-2026-43500 (Dirty Frag variant)
  • CVE-2026-46300 (Fragnesia)

• Linux PackageKit daemon

  • CVE-2026-41651 (Pack2TheRoot, CVSS 8.8)

• Linux kernel (privilege management)

  • CVE-2026-46333 (ssh-keysign-pwn, CVSS 5.5)

شنو خاصك دير

• عطل CONFIG_RXGK فـ التوزيعات المقيوسة إيلا كان الـ rxgk subsystem مامطلوبش فـ النظام ديالك.
• طبق أي تحديث لـ kernel متعلق بـ CVE-2026-31635 والنسخ المرتبطة بيها (CVE-2026-31431, CVE-2026-43284, CVE-2026-43500, CVE-2026-46300) بمجرد ما توفرو التوزيعة ديالك.
• إيلا كنتي مخدم AlmaLinux، Amazon Linux، CloudLinux، Fedora، Gentoo، Red Hat، SUSE ولا Ubuntu، قلب على أي إشعار أمني خاص بـ CVE-2026-46333 وطبق الترقيع.
• إيلا كنتي كتستعمل Rocky Linux، دخل لـ optional security repository باش توصل بـ الإصلاحات السريعة (accelerated fixes) ديال الثغرات الخطيرة فانتظار الترقيعات ديال upstream.
• فـ البيئات ديال containers، عطي الأولوية لترقيع الـ worker nodes باش تمنع المشكل ديال pod escape.

أسئلة باقا مطروحة

• واش CVE-2026-31635 تعطات رسميا من طرف MITRE ولا غا تخذات من التسجيل ديال NVD؟ المصادر المتوفرة ماكتوضحش هادشي بوضوح.
• الوقت فوّاش غادي يتوفرو هاد التحديثات مزال مامعروفش فجميع التوزيعات المقيوسة؛ التنبيه الأمني مادكرش تواريخ الإصدار بالضبط.
• الاقتراح ديال killswitch للـ kernel لي قدمو Sasha Levin تراجع من طرف المطورين، ولكن المصدر ماكيأكدش واش تقبل ولا تطبق فعليا.
• الحجم ديال الاستغلال النشط فـ in-the-wild مزال ماموثقش.

Source

DirtyDecrypt PoC Released for Linux Kernel CVE-2026-31635 LPE Vulnerability