- بواسطة x32x01 ||
في الأيام الأخيرة ظهر تحذير أمني مهم بخصوص ثغرتين جديدتين أثرتا على بعض أشهر توزيعات لينكس، بما فيها Ubuntu وRed Hat وFedora. الثغرات دي ممكن تسمح لمستخدم محلي على الجهاز بالوصول إلى بيانات حساسة جدًا كانت موجودة داخل ذاكرة البرامج، وده ممكن يؤدي لتسريب معلومات مهمة زي كلمات المرور المشفرة ومفاتيح التشفير وبيانات المستخدمين.
ورغم إن تنفيذ الهجوم مش سهل وبيحتاج ظروف معينة، إلا إن خطورة البيانات اللي ممكن تتسرب خلت خبراء الأمن السيبراني ينصحوا بتطبيق إجراءات الحماية فورًا.
الرقم ده بيساعد النظام يميز بين العمليات المختلفة أثناء التشغيل.
مثال:
الأمر السابق هيعرض العمليات الجارية مع أرقام الـ PID الخاصة بيها.
الملف ده عبارة عن نسخة من محتويات الذاكرة الخاصة بالبرنامج وقت الانهيار.
وده بيكون مفيد للمطورين أثناء تحليل الأخطاء، لكن في نفس الوقت ممكن يحتوي على:
وده بيحصل لما يحاول النظام تنفيذ أكثر من عملية في نفس الوقت، ويستغل المهاجم التوقيت الدقيق بين العمليات للحصول على نتائج غير متوقعة.
في السيناريو ده:
وهي المسؤولة عن جمع تقارير الأعطال في Ubuntu.
المشكلة ناتجة عن Race Condition أثناء التعامل مع العمليات داخل Namespaces أو الحاويات.
في بعض الظروف الخاصة يمكن للمهاجم المحلي الوصول إلى بيانات موجودة داخل ملفات Core Dump الخاصة ببرامج أخرى.
وهو المسؤول عن إدارة ملفات Core Dump في العديد من توزيعات لينكس.
السيناريو الأخطر هنا هو استهداف برامج تعمل بصلاحيات مرتفعة مثل برامج SUID.
إذا نجح المهاجم في استغلال التوقيت المناسب، قد يتمكن من الوصول إلى بيانات حساسة كانت موجودة في ذاكرة البرنامج قبل انهياره.
يحتوي على Password Hashes الخاصة بالمستخدمين.
مثال على محتويات الملف:
المهاجم لا يحصل على كلمة المرور مباشرة، لكنه قد يحصل على الهاش الخاص بها.
بعد ذلك يمكن محاولة كسر الهاش باستخدام أدوات تحليل كلمات المرور بشكل غير متصل بالشبكة.
عشان كده أي تسريب لمحتويات الذاكرة التي تتعامل مع ملف shadow يعتبر تهديدًا أمنيًا خطيرًا.
نفذ الأمر التالي كمدير للنظام:
ولجعل الإعداد دائمًا بعد إعادة التشغيل:
الميزة: ✅ يقلل احتمالية استغلال الثغرة.
العيب: ⚠️ يصعب تحليل الأعطال الخاصة ببرامج SUID.
ده يقلل مساحة الهجوم بشكل كبير.
على Red Hat وFedora:
إذا لم تكن بحاجة للخدمة يمكنك تعطيلها أو إزالتها بعد مراجعة تأثير ذلك على بيئة العمل.
يفضل تنفيذ:
على Ubuntu.
أو:
على Fedora وRed Hat.
مع متابعة نشرات الأمان الرسمية الخاصة بالتوزيعة المستخدمة.
ورغم أن الاستغلال يحتاج إلى ظروف خاصة وتوقيت دقيق، إلا أن نجاح الهجوم قد يؤدي إلى تسريب بيانات حساسة جدًا من الذاكرة.
لهذا السبب ينصح خبراء الأمن السيبراني ومسؤولو الأنظمة بتطبيق إجراءات الحماية فورًا وعدم انتظار وقوع مشكلة فعلية.
أفضل إجراء حاليًا هو تحديث النظام فور توفر التصحيحات الأمنية، مع تعطيل Core Dumps الخاصة ببرامج SUID وتقليل الصلاحيات غير الضرورية للمستخدمين حتى يتم تطبيق التحديثات الرسمية.
ورغم إن تنفيذ الهجوم مش سهل وبيحتاج ظروف معينة، إلا إن خطورة البيانات اللي ممكن تتسرب خلت خبراء الأمن السيبراني ينصحوا بتطبيق إجراءات الحماية فورًا.
ما هي الثغرات المكتشفة في Linux؟ 🔍
الثغرات المكتشفة هي:CVE-2025-5054وتؤثر على Apport في Ubuntu.CVE-2025-4598وتؤثر على systemd-coredump في Red Hat وFedora وبعض توزيعات لينكس الأخرى.
يعني إيه PID في لينكس؟ 🤔
كل برنامج بيشتغل على نظام لينكس بيحصل على رقم تعريف فريد اسمه: PID - Process IDالرقم ده بيساعد النظام يميز بين العمليات المختلفة أثناء التشغيل.
مثال:
Code:
ps auxيعني إيه Core Dump؟ 💾
لما برنامج يتعرض لانهيار أو Crash، لينكس ممكن ينشئ ملف اسمه: Core Dumpالملف ده عبارة عن نسخة من محتويات الذاكرة الخاصة بالبرنامج وقت الانهيار.
وده بيكون مفيد للمطورين أثناء تحليل الأخطاء، لكن في نفس الوقت ممكن يحتوي على:
🔐 كلمات مرور
🔐 مفاتيح تشفير
🔐 بيانات مستخدمين
🔐 جلسات تسجيل الدخول
🔐 معلومات حساسة أخرى
عشان كده أي مشكلة في إدارة ملفات Core Dump تعتبر خطر أمني كبير.كيف تعمل الثغرتان؟ ⚠️
الثغرتان تعتمدان على نوع من الهجمات يسمى: Race Conditionوده بيحصل لما يحاول النظام تنفيذ أكثر من عملية في نفس الوقت، ويستغل المهاجم التوقيت الدقيق بين العمليات للحصول على نتائج غير متوقعة.
في السيناريو ده:
- يتم إجبار برنامج بصلاحيات مرتفعة على الانهيار.
- النظام يبدأ إنشاء Core Dump.
- المهاجم يحاول استغلال إعادة استخدام PID بسرعة.
- إذا نجح الهجوم قد يتمكن من قراءة بيانات تخص العملية الأصلية.
تفاصيل ثغرة CVE-2025-5054 في Ubuntu 🐧
الثغرة تؤثر على أداة: Apportوهي المسؤولة عن جمع تقارير الأعطال في Ubuntu.
المشكلة ناتجة عن Race Condition أثناء التعامل مع العمليات داخل Namespaces أو الحاويات.
في بعض الظروف الخاصة يمكن للمهاجم المحلي الوصول إلى بيانات موجودة داخل ملفات Core Dump الخاصة ببرامج أخرى.
الأنظمة المتأثرة
- Ubuntu التي تستخدم إصدارات Apport المتأثرة.
- البيئات التي تعتمد على Containers وNamespaces بشكل مكثف.
تفاصيل ثغرة CVE-2025-4598 في Red Hat وFedora 🔥
الثغرة الثانية تؤثر على: systemd-coredumpوهو المسؤول عن إدارة ملفات Core Dump في العديد من توزيعات لينكس.
السيناريو الأخطر هنا هو استهداف برامج تعمل بصلاحيات مرتفعة مثل برامج SUID.
إذا نجح المهاجم في استغلال التوقيت المناسب، قد يتمكن من الوصول إلى بيانات حساسة كانت موجودة في ذاكرة البرنامج قبل انهياره.
لماذا يعتبر ملف /etc/shadow هدفًا مهمًا؟ 🔐
ملف:/etc/shadowيحتوي على Password Hashes الخاصة بالمستخدمين.
مثال على محتويات الملف:
Code:
root:$6$xxxxx...
user:$6$yyyyy...بعد ذلك يمكن محاولة كسر الهاش باستخدام أدوات تحليل كلمات المرور بشكل غير متصل بالشبكة.
عشان كده أي تسريب لمحتويات الذاكرة التي تتعامل مع ملف shadow يعتبر تهديدًا أمنيًا خطيرًا.
طريقة حماية Linux من الثغرتين فورًا 🛡️
تعطيل إنشاء Core Dumps لبرامج SUID
يعتبر من أفضل الحلول المؤقتة المتاحة حاليًا.نفذ الأمر التالي كمدير للنظام:
Code:
echo 0 > /proc/sys/fs/suid_dumpable Code:
echo "fs.suid_dumpable=0" >> /etc/sysctl.conf
sysctl -pالعيب: ⚠️ يصعب تحليل الأعطال الخاصة ببرامج SUID.
تعطيل systemd-coredump عند عدم الحاجة إليه
إذا كنت لا تعتمد على ملفات Core Dump في بيئة العمل: Code:
sudo systemctl disable --now systemd-coredump.serviceالتأكد من وجود Apport أو systemd-coredump
على Ubuntu: Code:
dpkg -l | grep apport Code:
rpm -qa | grep systemd-coredumpمراجعة صلاحيات المستخدمين والحاويات 🧩
من أهم خطوات الحماية:✅ تقليل صلاحيات المستخدمين العاديين.
✅ عدم منح صلاحيات Namespaces إلا عند الضرورة.
✅ مراجعة إعدادات الحاويات Containers.
✅ تطبيق مبدأ أقل الصلاحيات Possible Least Privilege.
كلما قلت الصلاحيات المتاحة للمستخدمين، قلت فرص نجاح الاستغلال.تحديث النظام هو الحل الأهم 🚀
مهما كانت إجراءات الحماية المؤقتة فعالة، يظل التحديث الرسمي هو الحل الأساسي.يفضل تنفيذ:
Code:
sudo apt update && sudo apt upgradeأو:
Code:
sudo dnf upgradeمع متابعة نشرات الأمان الرسمية الخاصة بالتوزيعة المستخدمة.
نصائح مهمة لمسؤولي الأنظمة
إذا كنت تدير خوادم Linux أو VPS أو بيئات استضافة:✅ طبق
fs.suid_dumpable=0 فورًا.✅ راقب سجلات النظام بشكل دوري.
✅ راجع أي عمليات Crash غير مبررة.
✅ تابع تحديثات Ubuntu وRed Hat باستمرار.
✅ قم بتأمين ملفات Core Dump وتقييد الوصول إليها.
✅ راجع إعدادات الحاويات وNamespaces.
هل الثغرات خطيرة فعلًا؟ 🤨
الثغرات لا تسمح بالاختراق عن بعد بشكل مباشر، لكنها قد تصبح خطيرة جدًا إذا كان لدى المهاجم حساب محلي على النظام.ورغم أن الاستغلال يحتاج إلى ظروف خاصة وتوقيت دقيق، إلا أن نجاح الهجوم قد يؤدي إلى تسريب بيانات حساسة جدًا من الذاكرة.
لهذا السبب ينصح خبراء الأمن السيبراني ومسؤولو الأنظمة بتطبيق إجراءات الحماية فورًا وعدم انتظار وقوع مشكلة فعلية.
الخلاصة ✅
ثغرتاCVE-2025-5054 وCVE-2025-4598 كشفتا مشكلة مهمة في طريقة التعامل مع Core Dumps داخل بعض توزيعات Linux وUbuntu وRed Hat. ورغم أن الاستغلال ليس بسيطًا، فإن البيانات التي يمكن الوصول إليها قد تكون شديدة الحساسية.أفضل إجراء حاليًا هو تحديث النظام فور توفر التصحيحات الأمنية، مع تعطيل Core Dumps الخاصة ببرامج SUID وتقليل الصلاحيات غير الضرورية للمستخدمين حتى يتم تطبيق التحديثات الرسمية.
التعديل الأخير: