CVE-2025-38352 هي ثغرة في حالة سباق نواة لينكس متجذرة في معالجة مؤقت وحدة المعالجة المركزية POSIX، وقد تم تصحيحها في منتصف عام 2025، لكنها شهدت الاستغلال النشط في البريةخاصة على أجهزة أندرويد. ينشأ هذا الخلل من حالة سباق TOCTOU بين التعامل مع_مع_مؤقتات_cposix_cpu_timers() و posix_cpu_cpu_timer_del()، مما يؤدي إلى إنشاء نافذة توقيت حيث يتم إساءة التعامل مع المهام المنتهية الصلاحية، مما يؤدي إلى تصعيد محتمل للامتيازات أو عدم استقرار النظام. (turn0search0)

بالنسبة لمهندسي الأمن الذين يقومون ببناء البنية التحتية المستندة إلى نظام لينكس ونشرها والدفاع عنها - بما في ذلك السحابة والحاويات والبيئات المتنقلة - تسلط هذه الثغرة الضوء على المخاطر المستمرة للأخطاء الخفية في التزامن في مكونات النظام الأساسية.

فهم آلية الضعف

في قلب CVE-2025-38352 هو شرط سباق وقت الفحص/وقت الاستخدام (TOCTOUU)، وهي فئة كلاسيكية من أخطاء التزامن حيث تفترض الشيفرة البرمجية شرطًا قد يتغير قبل اكتمال الإجراء المقابل.

في هذه الحالة، عندما تخرج المهمة، تقوم النواة بتشغيل منطق مؤقت وحدة المعالجة المركزية لتنظيف الموارد. ومع ذلك، لأن التعامل مع_مع_مؤقتات_cposix_cpu_timers() قد يتم استدعاؤها من سياق المقاطعة (IRQ) أثناء جني المهمة، و posix_cpu_cpu_timer_del() يعمل بشكل متزامن، وتسمح عمليات التحقق من الحالة الداخلية غير المتناسقة بمراجع الذاكرة غير الآمنة وسوء السلوك المنطقي. تضمّن إصلاح ذلك إدخال حالة_الخروج تحقق من تشغيل_posix_cpu_cpu_timers() بحيث لا تتم معالجة المؤقتات لمهمة مضمونة الخروج. (Turn0search0)

تُعد ظروف السباق في الأنظمة الفرعية للنواة منخفضة المستوى صعبة بسبب اعتمادها على الجدولة الدقيقة ومسارات التزامن التي غالبًا ما يفوتها الفحص النموذجي والتحليل الثابت.

لماذا يعد CVE-2025-38352 أمرًا بالغ الأهمية

غالبًا ما يتم التقليل من شأن ظروف السباق، ولكنها فئة عالية التأثير من الأخطاء في أنظمة التشغيلخاصة عندما تحدث في مكونات مثل توقيت وحدة المعالجة المركزية أو إدارة دورة حياة المهام. وقد أدت حالات سباق النواة السابقة (على سبيل المثال، CVE-2014-3153) إلى تصعيد الامتيازات المحلية أو حتى حالات ذعر النواة عند إساءة استخدامها.

تم التأكد من أن الثغرة الأمنية مستغلة بنشاط في البرية. وفقًا لتقارير أمنية، ظهرت في نشرة أمان أندرويد لشهر سبتمبر 2025إلى جانب عيب آخر متصاعد، مما يدل على أن المهاجمين يقومون بتسلسل حالة السباق هذه للهروب من صناديق الحماية ورفع الامتيازات دون الحاجة إلى الوصول عن بُعد. (turn0search1)

بالإضافة إلى ذلك، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) CVE-2025-38352 إلى كتالوج الثغرات المعروفة المستغلة (KEV)مما يعزز أولوية المعالجة في البيئات المؤسسية والحكومية. (turn0search0)

آليات الاستغلال وسيناريوهات التهديد

في حين أن تنفيذ التعليمات البرمجية التقليدية عن بُعد غير ممكن هنا بشكل مباشر, المهاجمون المحليون-مثل المستخدمين المخترقين، أو العمليات غير المميزة في البيئات متعددة المستأجرين، أو التطبيقات الخبيثة على أندرويد- يمكن أن يسيء استخدام هذا السباق:

• تعطل النواة (مما يؤدي إلى رفض الخدمة)
• الهروب من صناديق رمل العمليات (Android)
• تشغيل سلوك غير مقصود للنواة
• محاولة تصعيد الامتيازات المحلية

تتضمن سلسلة الهجوم بشكل عام سباق إجراءات الخروج من المهمة وحذف المؤقت، واستغلال النافذة التي يعالج فيها النظام الفرعي للمؤقت انتقالات الحالة بشكل غير صحيح.

مثال على نمط الاستغلال عالي المستوى

c

// نمط نافذة السباق المبسط إذا (المهمة->>مؤقت نشط_مؤقت) { // وقت التحقق حذف_مؤقت (المهمة->مؤقت)؛ // وقت الاستخدام // غير آمن عند تنظيف الموقت المتزامن الذي يحصد المهمة}

يتطلب اكتشاف هذا الخلل وتفعيله بشكل موثوق شروطًا دقيقة، وغالبًا ما يتم الحصول عليها من خلال الضغط على الخيوط متعددة النواة، ولكن هذا النمط يوضح كيف ينشأ الخلل من عدم تطابق التزامن.

الأنظمة المتأثرة وإرشادات التصحيح

تشمل أنظمة لينكس المعرضة للخطر نواة لينكس التي لم تحتوي على الإصلاح الذي تم الالتزام به في منتصف عام 2025، وخاصةً النواة التي صُممت بدون حالة_الخروج التحقق من إجراءات تنظيف مؤقت وحدة المعالجة المركزية POSIX. يؤثر هذا على نطاق واسع من البيئات:

• أجهزة Android قبل التحديث الأمني لشهر سبتمبر 2025
• توزيعات لينكس التي لم تقم بتصدير التصحيح (ديبيان، أوبونتو، ريد هات، ريد هات، سيوز، أمازون لينكس، إلخ)
• مضيفات الحاويات والمثيلات السحابية التي تستخدم إصدارات نواة ضعيفة

يعمل التصحيح على إصلاح السباق بإضافة حالة_الخروج التحقق لضمان معالجة الموقتات فقط عندما تكون المهام نشطة بالكامل، مما يلغي نافذة السباق غير الآمنة. يجب أن يتأكد مهندسو الأمن من أن:

• تتلقى أنظمة المضيف تحديثات kernel المناسبة من المنبع
• يتم تحديث أجهزة Android إلى التصحيح الأمني 2025-09 أو أحدث
• تعمل منصات الحاويات والتنسيق على فرض تصحيح نواة المضيف

المقارنة مع مشاكل التزامن في النواة الأخرى

لوضع تأثير ظروف السباق في سياقها، ضع في اعتبارك أخطاء نواة أخرى مثل CVE-2024-1086والتي تنطوي على تصعيد الامتيازات عبر آليات نواة أخرى. غالبًا ما تتزامن ظروف السباق مع الاستخدام بعد الفراغ ويمكن أن تكون أكثر دقة من تلف الذاكرة المباشر. تعتبر أساسيات المزامنة المناسبة والإدارة الدقيقة للحالة ضرورية.

فيما يلي جدول مقارنة لفئات أخطاء التزامن ذات الصلة بأمان النواة:

تعتبر حالات العرق مثل CVE-2025-38352 خطيرة لأنها يمكن أن تؤدي إلى الأنماط الخالية من الاستخدام بعد الاستخدام وغيرها من الآثار الجانبية القابلة للاستغلال إذا قام أحد المهاجمين بتشغيلها في ظروف محددة.

مناهج الكشف وإثبات صحة المفهوم

نظرًا لطبيعة التزامن لهذا الخلل، فإن اكتشافه ليس بالأمر الهيّن:

• تعمل اختبارات الإجهاد في ظل التزامن العالي على الأنظمة متعددة النواة على تحسين التغطية
• أدوات التحليل الديناميكي لمحاكاة مسارات التنفيذ المتشابكة
• أطر عمل التشويش التي تستهدف نوافذ السباق

فيما يلي مفهوم أساسي يوضح ضغط التزامن:

باش

'#!/bin/bash

حلقة إجهاد التزامن البسيطة

بينما صحيح؛ افعل ل i في {1...4}؛ افعل مجموعة المهام -c $i ./race_test_binary &done wait done``

هذا لا يستغل الثغرة بشكل مباشر ولكنه يزيد من معدل معالجة المؤقت وعمليات الخروج التي تعمل بالتوازي - مما يزيد من احتمالية تشغيل نوافذ التوقيت أثناء الاختبار.

استراتيجيات التخفيف والدفاع

يتضمن إصلاح الثغرة الأمنية تطبيق تصحيح النواة وتحديث الأنظمة المتأثرة. يجب على مهندسي الأمن أيضًا مراعاة ما يلي:

• تكوينات النواة الصلبة (تعطيل واجهات التصحيح)
• الحد من تنفيذ التعليمات البرمجية غير المميزة على المضيفين
• مراقبة سجلات النواة بحثًا عن أي حالات شاذة مثل حالات الذعر أو مهلات المراقبة
• فرض الحد الأدنى من الامتيازات للمستخدمين المحليين لتقليل دائرة نصف قطر الانفجار لمحاولات منع الانفجار

يمكن لنمط دفاعي وقائي لاكتشاف السباق المحلي أن يستخدم أدوات تكامل وقت تشغيل النواة مثل eBPF أو LKRG لمراقبة سلوك تنظيف المؤقت المريب.

بينليجنت: الاكتشاف القائم على الذكاء الاصطناعي وتحديد أولويات المخاطر لمكافحات التطرف العنيف

في قواعد الشيفرات البرمجية والبنية التحتية الكبيرة، يكون العثور يدويًا على مشكلات التزامن الدقيقة مثل CVE-2025-38352 أمرًا صعبًا ومعرضًا للأخطاء. المنصات المدعومة بالذكاء الاصطناعي مثل بنليجنت يمكن أن تساعد من خلال:

• تحليل مسارات التعليمات البرمجية المعقدة عبر الوحدات النمطية لتحديد حالات السباق المحتملة
• ربط الأنماط ببيانات CVE التاريخية وتوقيعات الاستغلال
• تحديد أولويات التدفقات عالية المخاطر للمراجعة الأمنية
• التكامل مع خطوط أنابيب CI/CD للإبلاغ عن الأنماط غير الآمنة قبل النشر

نظرًا لأن ظروف السباق غالبًا ما تعتمد على تفاعلات معقدة عبر الدوال والسياقات، فإن التحليل المدعوم بالذكاء الاصطناعي له قيمة خاصة في الكشف عن الأنماط المريبة التي يغفلها التحليل الثابت التقليدي، خاصة في لغات وبيئات مثل kernel C.

نقاط الضعف ذات الصلة التي تستحق المراقبة

في حين أن CVE-2025-38352 هو في المقام الأول حالة سباق، فإن الأخطاء الأخرى في النواة مثل CVE-2025-38499 (ثغرة في التحقق من الامتيازات) تُظهر أهمية الحفاظ على الأنظمة مصححة ومراقبة مسارات التصعيد المحلي. وغالباً ما تتفاقم هذه الثغرات عالية التأثير عندما تترابط مع ثغرات أخرى في سيناريو الهجوم.

تظل اليقظة المستمرة وإدارة التصحيحات عناصر أساسية للأمن الدفاعي الفعال.

الخاتمة

قد لا تكون الثغرة CVE-2025-38352 سهلة الاستغلال عن بُعد، ولكن استغلالها في البرية وتأثيرها الواسع عبر نواة لينكس وأندرويد يجعلها دراسة حالة مهمة في إدارة الثغرات الأمنية الحديثة. بالنسبة لمهندسي الأمن، فإن فهم آليات ظروف السباق وامتلاك أدوات مؤتمتة لاكتشاف مثل هذه الثغرات وتحديد أولوياتها - على سبيل المثال، الاستفادة من منصات مثل Penligent - يعزز بشكل كبير القدرة على الدفاع عن البنية التحتية المعقدة.

يعد الترقيع الفوري ومراقبة وقت التشغيل والتقوية المعمارية أمراً ضرورياً للتخفيف من مخاطر تصعيد الامتيازات وضمان سلامة النظام عبر البيئات غير المتجانسة.