Linux Kernel’de 9 Yıl Gizli Kalan “Copy Fail” Açığı Root Yetkisi Sağlıyor
Linux Kernel’de 2017’den bu yana varlığını sürdüren ve “Copy Fail” olarak adlandırılan kritik güvenlik açığı ortaya çıkarıldı. CVE-2026-31431 koduyla kaydedilen zafiyetin, yerel kullanıcıların root erişimi elde etmesine imkan tanıdığı belirtilirken Ubuntu, Debian, Red Hat Enterprise Linux ve benzeri birçok sistemin risk altında olduğu ifade edildi.
Siber güvenlik araştırmacıları, Linux Kernel’de uzun süredir tespit edilemeyen kritik bir güvenlik açığını kamuoyuna duyurdu. “CVE-2026-31431” olarak kaydedilen ve “Copy Fail” adı verilen zafiyetin, sistemdeki yerel kullanıcıların en yüksek yetki seviyesi olan root erişimini ele geçirebilmesine olanak tanıdığı açıklandı.
Araştırmacılar, açığın Linux çekirdeğinin kriptografi altyapısında yer alan “algif_aead” modülündeki bir mantık hatasından kaynaklandığını belirterek, “Bu zafiyet, klasik açıkların aksine farklı bir veri işleme hatasına dayanıyor.” ifadelerini kullandı.
“9 Yıl Boyunca Fark Edilmeden Kaldı”
Söz konusu güvenlik açığının, 2017 yılında yapılan bir performans optimizasyonu sırasında sisteme dahil edildiği ve yaklaşık 9 yıl boyunca fark edilmeden kaldığı aktarıldı. Uzmanlar,
“Bu süre boyunca Ubuntu, Debian, Red Hat Enterprise Linux, SUSE Linux ve Amazon Linux dahil olmak üzere çok sayıda büyük dağıtım etkilendi.” değerlendirmesinde bulundu.
Açığın Çalışma Mekanizması
Teknik analizlere göre “Copy Fail” açığı, Linux’un kriptografi arayüzü olan AF_ALG üzerinden tetikleniyor. Araştırmacılar süreci,
“Saldırgan normal kullanıcı olarak sisteme giriş yapıyor, ardından kernel’deki hatalı veri işleme mekanizmasını tetikleyerek page cache üzerinde kontrol sağlıyor.” sözleriyle açıkladı.
Açığın en dikkat çekici yönünün, doğrudan disk üzerindeki dosyaları değiştirmemesi olduğu vurgulanarak,
“Exploit, hedef dosyanın RAM’deki kopyasına küçük veri parçaları enjekte ediyor. Diskte değişiklik görünmüyor ancak çalıştırma sırasında kernel bu değiştirilmiş veriyi kullanıyor.” denildi.
Bu yöntemle saldırganın, sistemde güvenilir kabul edilen bir binary dosyanın davranışını değiştirerek root erişimi elde edebildiği ifade edildi.
“Tespit Edilmesi Oldukça Zor”
Uzmanlar, açığın tehlike seviyesine ilişkin olarak,
“Race condition gerektirmemesi, kernel adres bilgisine ihtiyaç duymaması ve tek seferde çalışabilmesi bu açığı son derece kritik hale getiriyor.” açıklamasında bulundu.
Ayrıca, değişikliklerin yalnızca RAM üzerinde gerçekleşmesi nedeniyle tespit edilmesinin zor olduğu belirtilerek,
“Container ortamlarında da çalışabilmesi riski daha da büyütüyor.” uyarısı yapıldı.
Risk Altındaki Sistemler
Araştırmacılar, özellikle paylaşımlı Linux sunucuları, Kubernetes ve container altyapıları, CI/CD sistemleri ile bulut tabanlı kod çalıştırma ortamlarının ciddi risk altında olduğunu bildirdi.
“Acil Güncelleme Yapılmalı”
Güvenlik uzmanları, sistem yöneticilerine yönelik uyarılarında,
“Kernel güncellemeleri gecikmeden uygulanmalı.” ifadelerini kullandı.
Güncelleme imkanı bulunmayan sistemler için ise
“algif_aead modülü devre dışı bırakılmalı ve AF_ALG erişimi sınırlandırılmalı.” önerisi paylaşıldı.
“Copy Fail” açığının, basitliği ve geniş etki alanı nedeniyle Linux Kernel tarihindeki en ciddi yerel yetki yükseltme açıklarından biri olarak değerlendirildiği kaydedildi.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
