- بواسطة x32x01 ||
ثغرة في نواة لينكس تؤدي لتصعيد امتيازات محليّة - (CVE-2022-25636) 
اتكتشف عيب أمني في نواة Linux (الكرنل) صنّفه أصحاب البحث كـ CVE-2022-25636، ودرجة الخطورة حسب CVSS تقريبًا 7.8 - يعني ثغرة خطيرة وتحتاج اهتمام عاجل. الثغرة بتأثر على نسخ النواة من 5.4 إلى 5.6.10، واكتشفها Nick Gregory باحث التهديدات في شركة Sophos.إيه الحكاية؟ إزاي بيشتغل الخلل ده؟ 
- الثغرة ناتجة عن كتابة خارج حدود الكومة (out-of-bounds write) داخل مكون Netfilter في الكرنل.
- Netfilter هو إطار عمل في لينكس بيتعامل مع الشبكة: فلترة الحزم (firewall)، ترجمة عناوين الشبكة (NAT)، والحاجات دي.
- المشكلة مرتبطة بطريقة التعامل مع ميزة إلغاء تحميل الأجهزة (hardware offload) في Netfilter - ودي ميزة بتخلي بعض عمليات الشبكة تتنفذ على الـ NIC بدل الكرنل.
- لو المهاجم عنده حساب محلي على الجهاز، ممكن يستغل الثغرة للوصول لذاكرة خارج الحدود، ودا يؤدي إمّا لتعطيل النظام (crash / DoS) أو - في سيناريوهات أخطر - لتصعيد امتيازات محليّة وتنفيذ كود ضار داخل الكرنل (worst case).
مين بلغ عن الثغرة وازاي كانت ردود شركات التوزيع؟ 
- الباحث: Nick Gregory من Sophos.
- التبليغات والتحذيرات صدرت عن توزيعات ومزوّدين كبار زي Red Hat, Debian, Oracle Linux, SUSE, Ubuntu إلخ - يعني التوزيعات الكبيرة كلها اهتمّت بالأمر ونشرت تحذيرات وإرشادات.
ليه الثغرة دي خطيرة عمليًا؟ 
- بتحتاج مهاجم محلي (يعني لازم يكون عنده حساب على النظام) لكن الباحث أوضح إنّه ممكن يوصل لحالة يسمح له يفعل ده حتى لو كان "مستخدم غير مميز" عن طريق استغلال namespace والتلاعب بصلاحيات (CAP_NET_ADMIN مرتبط عادةً بالعمليات الشبكية).
- في أفضل الأحوال النظام ينهار (DoS)؛ وفي أسوأ الأحوال ممكن نتحول لمشهد Kernel ROP وتصعيد امتياز محلي (Local privilege escalation) - وده يعني القراصنة يقدروا يسيطروا على الجهاز بشكل كامل لو نجحوا.
إزاي تحمي نفسك وتقلل الخطر بسرعة؟ (إجراءات عملية) 
- حدّث النواة فورًا: أسرع حل هو تثبيت الفاتشات/الكرنلات المحدثة اللي نشرتها التوزيعة بتاعتك. راجع advisory الرسمي للتوزيعة (Red Hat, Ubuntu, Debian...) ونفّذ التحديثات.
- تقييد الحسابات المحلية: قلّل عدد الحسابات اللي لهم صلاحية دخول على النظام وامنع وجود حسابات غير موثوقة.
- راجع الصلاحيات: خفّض استخدام قدرات مثل CAP_NET_ADMIN للحسابات غير الموثوقة - يعني متديش صلاحيات إدارة الشبكة لأي يوزر.
- عزل الشبكات وNamespaces بحذر: بما إن الباحث ذكر إمكانية الاستفادة من الـ network namespaces، راجع كيف بتدير namespaces في بيئتك وقلل إعطاء صلاحيات غير ضرورية داخلها.
- تابع سجلات النظام (logs) ومراقبة السلوك: راقب أي محاولات غريبة للعمل على Netfilter أو أية عمليات تؤسس قواعد nftables/NAT غير متوقعة.
- استخدام حلول كشف/الاستجابة للنهايات (EDR/IDS/IPS): إن وُجدت، فعل قواعد تكشف سلوكيات استغلال الكرنل أو أنماط مشبوهة.
- اختبار البنية التحتية: بعد تطبيق الفاتش، شغّل اختبارات وظيفية وخبراتية للتأكد إن التحديث ماكسّرش شيء في الخدمات.
- راقب advisories الرسمية: تابع صفحات التوزيعة ومواقع الأمن للحصول على التحديثات والـ backports أو الحلول المؤقتة (workarounds).
نصايح إدارية لمراكز البيانات والخوادم الإنتاجية 
- طبّق تحديثات الأمان خلال نافذة صيانة مع خطة استرجاع واضحة.
- لو النظام حساس جدًا ومخاطرة التصعيد عالية، فكّر في تعطيل خدمات nftables/Netfilter غير الضرورية مؤقتًا أو عزّل الواجهات اللي بتسمح بالاستغلال.
- نسّق مع فريق الشبكات لتحديد وتجديد قواعد offload على NICs إن أمكن لضمان عدم ترك سلوكيات تُستغل.
خاتمة سريعة 
الثغرة CVE-2022-25636 بتأثر على إصدارات نواة Linux بين 5.4 و5.6.10 وبتسمح لمهاجم محلي باستغلال مشكلة كتابة خارج الحدود في Netfilter. الحل العملي والأهم: تحديث النواة والتوزيعة فورًا واتباع نصائح تقليل الصلاحيات ومراقبة الأنظمة. التعديل الأخير: