حزمة واحدة لإسقاطهم جميعًا: ثغرة في OpenSSH تعرّض خوادم لينكس لإغلاقات خفية

تخيّل عالمًا يستطيع فيه مهاجم عن بُعد، وبلا شيء سوى حزمة شبكة مُصمَّمة خصيصًا، أن يُسقط فورًا الاتصالات الآمنة على خوادم لينكس لديك - لا كلمات مرور، لا وصول، فقط استغلال في توقيت مثالي. هذا ليس حبكة من فيلم إثارة سيبراني، بل الواقع القاسي الذي يواجه آلاف الأنظمة التي تشغّل OpenSSH مع تفعيل تبادل المفاتيح عبر GSSAPI. إن الثغرة المكتشفة حديثًا CVE-2026-3497 تذكير مخيف بأن حتى ركائز الأمن الموثوقة قد تُخفي عيوبًا كارثية.

الثغرة، التي اكتشفها الباحث الأمني جيريمي براون وكشف عنها مارك ديسلوريرز من Canonical، تتوارى عميقًا داخل منطق معالجة الأخطاء في حلقة خادم تبادل المفاتيح (KEX) عبر GSSAPI في OpenSSH. السبب الجذري؟ سهو برمجي دقيق لكنه مدمّر: يستدعي الكود بالخطأ دالة قطع اتصال غير مُنهية (sshpkt_disconnect()) بدلًا من الدالة الصحيحة التي تقتل العملية ssh_packet_disconnect() في ثلاثة مواضع رئيسية. هذا الخطأ يطلق تأثير الدومينو: فبدلًا من الإغلاق الآمن، يتعثر الخادم في قراءة متغير مكدس غير مُهيّأ، recv_tok، ويرسل محتوياته غير المتوقعة إلى عملية المراقبة ذات الامتيازات الجذرية (root monitor).

التداعيات التقنية خطيرة. فليس الاستغلال يضمن تعطّلًا موثوقًا بنسبة 100% - عادةً خطأ تجزئة ذاكرة أو إيقافًا (abort) على أنظمة x86_64 - فحسب، بل يفتح أيضًا حدّ الفصل بين الامتيازات، مُرسلًا ما يصل إلى 127 كيلوبايت من بيانات الكومة (heap) المحتمل أن تكون حساسة عبر العمليات. ولا يحتاج المهاجمون حتى إلى المصادقة؛ إذ تكفي حزمة واحدة بحجم 300 بايت لإطلاق العلة، ما يؤدي إلى إغلاق قسري لمدة 90 ثانية للمستخدمين الشرعيين بينما تموت عملية SSH الفرعية.

تؤثر الثغرة في الغالب على خوادم أوبونتو وديبيان، حيث تكون رقعة تبادل المفاتيح عبر GSSAPI موجودة افتراضيًا. إذا كانت ميزة GSSAPIKeyExchange مفعّلة في إعدادات SSH على الخادم، يصبح النظام مكشوفًا. والخطر ليس نظريًا فحسب: فبيانات المكدس المتبقية التي تُنقل أثناء الهجوم قد تختلف تبعًا للمُصرّف وإعدادات البناء، لكنها تحمل دائمًا احتمال تسريب أسرار.

لحسن الحظ، الإصلاح مباشر. فقد أصدر القائمون على الصيانة في Canonical تصحيحات تستبدل استدعاءات الدوال الخاطئة في ملف المصدر kexgsss.c. ويُحث مسؤولو الأنظمة على تحديث حزم OpenSSH فورًا. ولمن يتعذر عليهم التصحيح على الفور، فإن تعطيل GSSAPIKeyExchange في إعدادات عفريت SSH (daemon) يوفر حلًا مؤقتًا فعالًا.

كما يثبت هذا الحادث، حتى البرمجيات مفتوحة المصدر الأكثر تدقيقًا قد تؤوي أخطاءً حرجة تم التغاضي عنها. وبالنسبة للمدافعين، فالدرس واضح: اليقظة، والتصحيح في الوقت المناسب، ومبدأ أقل الامتيازات تظل أفضل الدروع في مواجهة مشهد تهديدات يتطور باستمرار.

WIKICROOK

• OpenSSH: OpenSSH أداة مفتوحة المصدر شائعة تُشفّر الاتصالات عن بُعد، ما يتيح إدارة الأنظمة بأمان ونقل الملفات عبر الشبكات.
• GSSAPI: GSSAPI واجهة معيارية للمصادقة الآمنة وتبادل البيانات بين التطبيقات، تُجرّد تفاصيل البروتوكول لتبسيط دمج الأمن السيبراني.
• الحجب: الحجب في الأمن السيبراني يعني جعل الأنظمة أو الخدمات غير متاحة للمستخدمين، غالبًا عبر هجمات مثل حجب الخدمة (DoS) التي تُغرقها بحركة مرور.
• فصل الامتيازات: فصل الامتيازات يعزل مكوّنات النظام حسب مستوى الامتياز، ما يقلل أثر الهجوم ويمنع الوصول غير المصرح به إلى الموارد الحساسة.
• الكومة (Heap): الكومة منطقة ذاكرة للتخصيص الديناميكي، وغالبًا ما تُستهدف في الهجمات السيبرانية بسبب سوء إدارة الذاكرة أو الثغرات.