السبت 27 يونيو 2026 01:12:16 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookالفريقAppاتصال
ArabicEnglishItaliano
الثغرات وإدارة التصحيحات

عندما تتحول وصلة مساعدة في لينكس إلى مسار اختراق

04 يونيو 2026 02:12الثغرات وإدارة التصحيحاتDEEPAUDIT

تُظهر CVE-2022-0492 كيف يمكن لخلل تفويض ضيق في cgroups v1 أن يحول موطئ قدم داخل الحاوية إلى تصعيد امتيازات على مستوى المضيف، مما يجعل مسارات النواة القديمة مشكلة دفاعية قائمة بالفعل.

غالبا ما لا يكمن الخطر في أمان الحاويات في الحاوية نفسها، بل في شيفرة النواة التي تحتها. تقع CVE-2022-0492 في تلك الطبقة: وهي ثغرة في نواة لينكس مرتبطة بـ cgroups v1 ومسار release_agent، وهي آلية يمكن تفعيلها عندما تصبح مجموعة cgroup فارغة. إذا لم تكن نقطة التحكم هذه محمية بشكل صحيح، فقد يتمكن مهاجم لديه وصول محلي مسبقا من تجاوز حدود المساحات الاسمية والوصول إلى المضيف.

حقائق سريعة

  • تؤثر CVE-2022-0492 في مسار cgroups v1 في نواة لينكس، وليس في بيئة تشغيل حاويات.
  • ترتبط الثغرة بتفويض غير سليم حول release_agent.
  • وضعت CISA هذه الثغرة ضمن قائمة الثغرات المستغلة المعروفة لديها، وهو مؤشر قوي على إساءة استخدامها في الواقع.
  • ينطوي الخطر على تصعيد امتيازات محلي، مع احتمال الهروب من الحاوية في بعض النشر.
  • تواجه الأنظمة التي تستخدم cgroups v1 هذا التعرض المحدد؛ أما cgroups v2 فلا يستخدم المسار نفسه.

لماذا يهتم المدافعون الآن

ينبغي قراءة إدراج الثغرة في كتالوج الثغرات المستغلة لدى CISA كإشارة لتحديد الأولويات، لا كتحذير نظري. وحتى إذا اختلفت سلسلة الاستغلال الدقيقة بين البيئات، فإن الدرس الدفاعي يظل ثابتا: ما زالت ميزات النواة القديمة جذابة لأنها غالبا ما تقع أسفل افتراضات الأمان الأعلى مستوى. وبمجرد دخول نواة المضيف في المعادلة، لا يكون عزل أعباء العمل أقوى من أضعف مسار تحكم يمكن الوصول إليه.

التعرض ليس شاملا. يعتمد ما إذا كان النظام معرضا فعلا على بنية النواة المثبتة، والتحديثات الخلفية من المورّد، وما إذا كان cgroups v1 مفعلا، وما هي ضوابط MAC النشطة. يمكن لأدوات التقوية مثل SELinux أن تقلل التعرض في بعض النشر، لكن يجب اعتبارها دفاعا متعدد الطبقات، لا بديلا عن التصحيح. ينبغي على المسؤولين أيضا مراجعة ما إذا كان cgroups v1 لا يزال ضروريا أصلا.

تحدد المعلومات العامة مسار الشيفرة الضعيف في cgroups v1 وخلل التفويض، بينما قد يختلف مسار الاستغلال الدقيق حسب البيئة. والدرس الأوسع واضح: في البيئات السحابية وبيئات الحاويات، يمكن للآليات القديمة في النواة أن تتجاوز نموذج التهديد الأصلي الخاص بها وتصبح مسارا حيا للهروب. وقد تفوت على فرق الأمن، التي تراقب طبقة الحاوية فقط، الحدود الحقيقية التي يحاول المهاجمون تجاوزها.

الخلاصة

تذكرنا CVE-2022-0492 بأن العزل الحديث قد يفشل أيضا عند الشقوق التي تتركها تصميمات النواة الأقدم. والاستجابة الأكثر فائدة ليست الذعر، بل الانضباط: التصحيح بسرعة، وتقليل الاعتماد على cgroups v1، والإبقاء على تقوية المضيف مفعلة، والتعامل مع ميزات الصيانة في النواة باعتبارها جزءا من سطح الهجوم. في أمان الحاويات، تعد نواة المضيف بوابة الحراسة، وبوابات الحراسة تحتاج إلى تدقيق مستمر.

WIKICROOK

  • cgroups v1: نظام فرعي في نواة لينكس لتجميع العمليات وتطبيق ضوابط الموارد أو العزل.
  • release_agent: أمر مساعد يمكن للنواة تشغيله عندما تصبح مجموعة cgroup فارغة تحت إعدادات محددة.
  • تصعيد الامتيازات: الحصول على صلاحيات أعلى في النظام من تلك الممنوحة أصلا، وغالبا ما يؤدي ذلك إلى صلاحيات الجذر.
  • الهروب من الحاوية: الخروج من حاوية معزولة للوصول إلى بيئة المضيف الأساسية.
  • SELinux: وحدة أمان في لينكس تفرض ضوابط وصول إلزامية ويمكنها الحد من مسارات الاستغلال.
DEEPAUDIT
الكاتبDEEPAUDIT

الثغرات وإدارة التصحيحات