Linux’teki Yüksek Şiddetli Güvenlik Açığı: Copy Fail
Cybersecurity araştırmacıları, yerel bir kullanıcının kök erişimi elde etmesine olanak tanıyan bir Linux yetki yükseltme açığı hakkında önemli detaylar açıkladı. CVE-2026-31431 koduyla takip edilen bu açık, 7.8 CVSS puanına sahip ve Xint.io ile Theori tarafından Copy Fail olarak adlandırılmıştır.
Saldırı Nasıl Çalışıyor?
Vulnerability araştırma ekibi, “Yetkisiz bir yerel kullanıcı, bir Linux sisteminde okunabilir herhangi bir dosyanın bellek önbelleğine dört kontrollü byte yazabilir ve bunu kullanarak kök erişimi kazanabilir” demektedir. Açığın temel kaynağı, Linux çekirdeğinde yer alan kriptografik alt sistemdeki bir mantık hatasıdır ve bu hatanın kaynağı, Ağustos 2017’de yapılan bir kaynak kodu taahhüdü ile ortaya çıkmıştır.
Başarılı bir sömürü, temel olarak 732 byte’lık basit bir Python betiği ile bir setuid ikili dosyasını düzenleyerek kök erişimi elde etmeye olanak tanır. Python sömürü aşağıdaki dört adımdan oluşur:
- Bir AF_ALG soketi açılır ve authencesn(hmac(sha256),cbc(aes)) ile bağlanır.
- Shellcode yükü oluşturulur.
- /usr/bin/su dosyasının çekirdekteki önbellek kopyasına yazma işlemi tetiklenir.
- execve(“/usr/bin/su”) çağrılır ve enjekte edilen shellcode kök olarak çalıştırılır.
Açığın uzaktan sömürülmesi mümkün olmamakla birlikte, bir yerel yetkisiz kullanıcının, bir setuid ikilisinin bellek önbelleğini bozmasıyla kök erişimi kazanması mümkündür. Ayrıca, bellek önbelleği tüm süreçler arasında paylaşıldığı için, bu durum kontenjanlararası etkilere neden olabilir.
Etkilenen Sistemler
Açık, 2017’den bu yana ticari amaçla piyasaya sürülen hemen hemen tüm Linux dağıtımlarını etkilemektedir. Bu dağıtımlara örnek olarak şunlar verilmiştir:
- Amazon Linux
- RHEL
- SUSE
- Ubuntu
Linux dağıtımları, bu açığa karşı kendi duyurularını yayımlamıştır ve bu durum hem sistem yöneticilerini hem de kullanıcıları alarma geçirmiştir.
Çözüm ve Korunma
Copy Fail, Dirty Pipe (CVE-2022-0847) ile benzerlik gösteren bir başka Linux çekirdek LPE açığını hatırlatmaktadır. Bu nedenle, koruma amaçlı aşağıdaki önlemleri almak önemlidir:
- Sistem güncellemeleri ve yamaları düzenli olarak kontrol edilmeli ve uygulanmalıdır.
- Setuid dosyalarının izinleri gözden geçirilmeli ve gereksiz yere geniş yetkiler verilmemelidir.
- Güvenlik açıkları hakkında bilgi almak için Linux toplulukları ve güvenlik bültenleri düzenli olarak takip edilmelidir.
Sonuç
Okuyucuların, sistemlerini korumak ve muhtemel tehditlere karşı hazırlıklı olmak için hemen güvenlik güncellemelerini yapmaları ve gereken önlemleri almaları önemlidir. Özellikle CVE-2026-31431 kodlu açığa karşı sistemlerinizi korumak için gerekli aksiyonları almayı unutmayın.
