Önemli Güvenlik Açığı: Copy Fail
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), çeşitli Linux dağıtımlarını etkileyen yeni bir güvenlik açığını, etkilenen sistemlerde aktif istismar kanıtları nedeniyle Bilinen İstismar Edilen Açıklar (KEV) kataloğuna ekledi. CVE-2026-31431 koduyla takip edilen bu açık, yerel ayrıcalık yükseltme (LPE) sorununa işaret ediyor ve aşağıda detayları aktarılmaktadır.
Saldırı Nasıl Çalışıyor?
CVE-2026-31431 (CVSS skoru: 7.8) adı verilen bu güvenlik açığı, yedinci nesil Linux çekirdeklerinin bir sonucudur ve 2011, 2015 ve 2017 yıllarında yapılan ayrı ayrı değişiklikler sonucunda ortaya çıkmıştır. Açık, yetkisiz bir yerel kullanıcının, kernel’in RAM’deki sayfa önbelleği üzerinde kontrol sağlamasıyla kök (root) erişimi kazanmasına olanak tanır. Etkileyen durumlar şunlardır:
- 3 parselleme hatası ile ortaya çıkan bir mantık hatası.
- 732 baytlık Python tabanlı bir istismar ile tetiklenebilir.
- %100 okuma erişimi olan dosyaların zarar görmesi ile kod yürütülmesi.
Google’a bağlı Wiz, bu açıkla ilgili şu bilgileri vermektedir: “Sayfa önbelleği, yürütme sırasındaki ikili dosyaları değiştirmeyi sağlar, bu da saldırganların yetkili ikili dosyalara (örneğin /usr/bin/su) kod enjekte etmesine olanak tanır.”
Etkilenen Sistemler
Bu güvenlik açığı, 2017’den bu yana piyasaya sürülen Linux dağıtımlarını etkilemektedir. Kaspersky’nin analizine göre, Copy Fail, konteynerli ortamlarda ciddi bir risk oluşturmaktadır. Docker, LXC ve Kubernetes gibi platformlar varsayılan olarak, konteyner içindeki süreçlere AF_ALG alt sistemine erişim sağlar.
Aşağıda, açığın yaygın etkilerinden bazıları belirtilmiştir:
- Konteyner izolasyonunu ihlal etme riski.
- Fiziksel makine kontrolünü kazanma olanağı.
- Gelişmiş saldırı tekniklerine gerek duyulmaması.
Çözüm ve Korunma
CISA, Mayıs 15, 2026 tarihine kadar etkilenen sistemler için yamaların uygulanmasını tavsiye etmektedir. Bu yamalar, çeşitli Linux dağıtımları üzerinden yayınlanmıştır:
- Linux çekirdek güncellemeleri: 6.18.22, 6.19.12 ve 7.0
- Hızla uygulanmalı ve altyapılar güncellemelidir.
Eğer güncelleme derhal mümkün değilse, önerilen önlemler şunlardır:
- Etkinlik dışı olan özelliklerin devre dışı bırakılması.
- Ağ izolasyonunun sağlanması.
- Erişim kontrollerinin uygulanması.
Saldırganlar, bu açığı istismar etmek için yerel erişim (AV:L) gerektiren adımlar atabilir. Aşağıda özetlenmiştir:
- Hedef sistemde açık bir Linux ana bilgisayarı veya konteyner tespit etme.
- Açığı tetikleyecek küçük bir Python aracı hazırlama.
- Düşük ayrıcalıklardan ağ üzerindeki hedefe istismarı gerçekleştirme.
- Açık, kernel sayfa önbelleğinde kontrollü 4 baytlık bir üst yazma işlemi gerçekleştirir.
- İstismar sonrası UID 0’a yükseltilerek tam root ayrıcalıkları kazandırılması.
Sonuç olarak, bu tür güvenlik açıklarının önemi ve etkileri göz önünde bulundurularak, kullanıcıların hızlı bir şekilde gerekli yamaları uygulamaları ve önerilen güvenlik önlemlerini hayata geçirmeleri gerekmektedir.
