Linux’ta Yeni Root Açığı: “DirtyDecrypt” İçin Exploit Kodu Yayımlandı

Linux çekirdeğinde bulunan ve “DirtyDecrypt” ya da “DirtyCBC” olarak adlandırılan yeni bir güvenlik açığı için proof-of-concept (PoC) exploit kodu yayımlandı. Güvenlik araştırmacıları, açığın başarılı şekilde kullanılması halinde saldırganların sistemde root yetkisi elde edebileceğini duyurdu.

Açığın Linux çekirdeğindeki “rxgk” modülünde bulunduğu belirtilirken, güvenlik araştırma ekibi V12 tarafından yapılan açıklamada güvenlik açığının 9 Mayıs 2026 tarihinde rapor edildiği ancak geliştiricilerin bunun daha önce düzeltilmiş bir hata olduğunu bildirdiği aktarıldı.

V12 ekibi açıklamasında,
“Bu açığı 9 Mayıs 2026 tarihinde tespit edip bildirdik ancak bakım ekibi bunun daha önce yamalanmış bir tekrar kayıt olduğunu belirtti. Sorun, rxgk_decrypt_skb içinde eksik COW korumasından kaynaklanan pagecache yazımıyla ilgili.” ifadelerine yer verdi.

 CVE-2026-31635 ile İlişkilendiriliyor

Güvenlik açığı için henüz resmi bir CVE kaydı yayımlanmasa da Will Dormann, araştırmacıların paylaştığı teknik detayların 25 Nisan’da yamalanan “CVE-2026-31635” ile örtüştüğünü ifade etti.

Açığın istismar edilebilmesi için Linux çekirdeğinde “CONFIG_RXGK” yapılandırma seçeneğinin etkin olması gerekiyor. Bu özelliğin, Andrew File System (AFS) istemcisi ve ağ iletişimi için RxGK güvenlik desteğini aktif hale getirdiği belirtildi.

Uzmanlar, bu nedenle saldırı yüzeyinin Fedora, Arch Linux ve openSUSE Tumbleweed gibi güncel upstream çekirdek sürümlerini yakından takip eden dağıtımlarla sınırlı olduğunu açıkladı.

V12 ekibi tarafından hazırlanan exploit kodunun yalnızca Fedora ve ana Linux çekirdeği üzerinde test edildiği bildirildi.

 “Dirty Frag” ve “Copy Fail” ile Aynı Sınıfta

Araştırmacılar, DirtyDecrypt açığının son haftalarda gündeme gelen “Dirty Frag”, “Fragnesia” ve “Copy Fail” gibi root yetki yükseltme açıklarıyla aynı güvenlik sınıfında değerlendirildiğini belirtti.

Linux kullanıcılarına en güncel çekirdek yamalarını yüklemeleri tavsiye edilirken, yamalama işlemini hemen gerçekleştiremeyen sistemler için geçici önlem de paylaşıldı.

Uzmanlar, aşağıdaki komutların uygulanmasının saldırıyı engelleyebileceğini ancak aynı zamanda IPsec VPN bağlantıları ile AFS dağıtık dosya sistemlerini devre dışı bırakabileceğini bildirdi:

• “install esp4 /bin/false”
• “install esp6 /bin/false”
• “install rxrpc /bin/false”

 CISA’dan Federal Kurumlara Uyarı

Açıklamalar, saldırganların “Copy Fail” isimli başka bir Linux açığını aktif olarak kullanmaya başladığı yönündeki raporların ardından geldi. Cybersecurity and Infrastructure Security Agency, 1 Mayıs’ta Copy Fail açığını aktif saldırılarda kullanılan güvenlik açıkları listesine eklemişti.

Cybersecurity and Infrastructure Security Agency, federal kurumlara Linux cihazlarını 15 Mayıs’a kadar güvence altına alma talimatı verirken,
“Bu tür güvenlik açıkları kötü niyetli siber aktörler tarafından sık kullanılan saldırı vektörleridir ve federal altyapı için ciddi risk oluşturmaktadır.” açıklamasında bulunmuştu.

Nisan ayında ise Linux dağıtımları, yaklaşık 12 yıl boyunca fark edilmeyen “Pack2TheRoot” isimli başka bir root yetki yükseltme açığı için güvenlik yamaları yayımlamıştı.

Kaynak: Beykozun Sesi