- بواسطة x32x01 ||
ظهر ثغرة مهمّة في أنظمة لينكس بتسمح لمستخدم عادي إنه يصعد صلاحياته ويبقى root على الماكينة - الثغرة اتكشفها فريق Qualys ومتسجلة تحت CVE-2021-44731. الهدف من البوست ده ينبهك ويقولك إزاي تحمي نظامك بسرعة من الخطر، مش نشر طرق الاستغلال.
إيه اللي حصل بالضبط؟ (مباشر وبسيط)
اللي اكتشفوه إن فيه race condition في جزء من حزمة snapd المسؤولة عن تشغيل تطبيقات الـ snap - وده ممكن يخلي مهاجم محلي يستغلها ويربط محتواه داخل مساحة تركيب خاصة (mount namespace) ويسيطر على تنفيذ أوامر بطريقة توصله لصلاحيات أعلى (root). المشكلة اتوثقت وبتتبع تفاصيلها في سجلات الـ CVE.
هل في استغلال موجود على الإنترنت؟
نعم فيه شغل بحثي وكذا تقرير وتنزيلات على GitHub بتحاول توضح PoC - لكن من غير قصد هنا مش هانعرض أي كود أو خطوات عملية للاستغلال. لو انت مدير نظام أو مهتم بالأمن، الاعتبار الأهم إن موجود رمز إثبات مفهوم للثغرة في العلن، وده بيدفع لأهمية التحديث فورًا.
إزاي تحمي نفسك بسرعة (خطوات عملية وآمنة)
نصايح للمسؤولين والـ Admins
الثغرة دي بتذكرنا إن حتى مكونات النظام اللي باينة "آمنة" زي snapd ممكن تظهر فيها مشاكل خطيرة. الحل البسيط اللي بيقلل الخطر هو تحديث الحزم من المستودعات الرسمية ومراقبة الأنظمة. لو أنت مش متأكد تعمل إيه، اتواصل مع فريق الـ IT أو مزوّد الخدمة واطلب منهم يتابعوا Advisories الرسمية ويطبّقوا الباتشات.
مصادر أساسية للاطّلاع:
Qualys advisory، صفحة Ubuntu Security، وصف الـ CVE في NVD وملخصات تقنية. (Qualys)
إيه اللي حصل بالضبط؟ (مباشر وبسيط) 
اللي اكتشفوه إن فيه race condition في جزء من حزمة snapd المسؤولة عن تشغيل تطبيقات الـ snap - وده ممكن يخلي مهاجم محلي يستغلها ويربط محتواه داخل مساحة تركيب خاصة (mount namespace) ويسيطر على تنفيذ أوامر بطريقة توصله لصلاحيات أعلى (root). المشكلة اتوثقت وبتتبع تفاصيلها في سجلات الـ CVE.مين المتأثر؟
- الأنظمة اللي فيها snapd بشكل افتراضي - وده يشمل نسخ أوبونتو الشائعة وبعض التوزيعات اللي بتستخدم Snap. مش كل تركيب افتراضي هيبقى سهل للاستغلال، لكن أوبونتو كانت من المتأثرة في إعدادات معيّنة.
هل في استغلال موجود على الإنترنت؟ 
نعم فيه شغل بحثي وكذا تقرير وتنزيلات على GitHub بتحاول توضح PoC - لكن من غير قصد هنا مش هانعرض أي كود أو خطوات عملية للاستغلال. لو انت مدير نظام أو مهتم بالأمن، الاعتبار الأهم إن موجود رمز إثبات مفهوم للثغرة في العلن، وده بيدفع لأهمية التحديث فورًا.إزاي تحمي نفسك بسرعة (خطوات عملية وآمنة) 
- حدّث النظام فورًا- أحدث الحزم غالبًا بتحل المشكلة (snapd تم تحديثه لإصلاح الثغرة). على أوبونتو استخدم تحديث الحزم الرسمي أو أداة Ubuntu Pro إذا متاحة.
- مثال آمن:
apt update && apt install --only-upgrade snapd(المقصود هنا هو تحديث حزمة snapd للنسخة المصححة) - نفّذ التحديثات من المستودعات الرسمية فقط.
- مثال آمن:
- اعرف نسخة snapd عندك - راجع إصدار الحزمة وتأكد إنه مساوي أو أعلى من النسخ اللي فيها التصليح (تم تصليحها في نسخ snapd بعد 2.54.2 بحسب التقارير).
- حدد سياسات الوصول المحلي - قلل صلاحيات المستخدمين المحليين اللي مش محتاجين صلاحيات متقدّمة، وفصّل من يمكنه تثبيت أو تشغيل سنابز.
- مراقبة ومحاكاة - راقب سجلات النظام وعمليات إنشاء namespaces غير المتوقعة، وفكر تعمل مسح دوري للأنظمة المهمة.
- لو مش بتستخدم snap - تقدر تراجع إذا كان ممكن إزالة أو تعطيل snapd في بيئات معيّنة، لكن خلي بالك إن حذف snapd ممكن يأثر على تطبيقات مثبتة - قرر القرار مع فريق التسيير.
- استعد لخطط الطوارئ - جهّز نسخ احتياطية وخطة استجابة للحوادث لو حصلت محاولة استغلال محلية أو وصول غير مصرح.
نصايح للمسؤولين والـ Admins 
- تابع إعلانات Canonical وQualys وسجلات الـ CVE علشان أي تحديثات ثانوية أو تبعيات ظهرت بعد التصحيح الأولي.
- نفّذ تحديثات على مراحل في البيئات الإنتاجية (staging → prod) لضمان عدم تعطل التطبيقات.
- بلّغ فورًا لأي سلوك غريب بعد التحديثات، وراجع سجلات الدخول والـ audit logs.
الثغرة دي بتذكرنا إن حتى مكونات النظام اللي باينة "آمنة" زي snapd ممكن تظهر فيها مشاكل خطيرة. الحل البسيط اللي بيقلل الخطر هو تحديث الحزم من المستودعات الرسمية ومراقبة الأنظمة. لو أنت مش متأكد تعمل إيه، اتواصل مع فريق الـ IT أو مزوّد الخدمة واطلب منهم يتابعوا Advisories الرسمية ويطبّقوا الباتشات.مصادر أساسية للاطّلاع:
Qualys advisory، صفحة Ubuntu Security، وصف الـ CVE في NVD وملخصات تقنية. (Qualys)
التعديل الأخير: