Giriş
Son günlerde, Linux işletim sistemleri için kritik bir “zero-day” açığı keşfedildi. “Dirty Frag” olarak adlandırılan bu güvenlik açığı, yerel saldırganların çoğu Linux dağıtımında root ayrıcalıklarını elde etmelerine olanak tanıyor.
Saldırı Nasıl Çalışıyor?
“Dirty Frag,” Linux çekirdeğindeki algif_aead kriptografik algoritma arayüzünde yaklaşık dokuz yıl önce tanıtılan bir güvenlik açığından yararlanıyor. Bu açığın çalışması, iki ayrı çekirdek açığını birleştirerek, xfrm-ESP Page-Cache Write ve RxRPC Page-Cache Write güvenlik açıklarını kullanarak sistem dosyalarını izinsiz olarak bellek üzerinden değiştirmeyi sağlıyor.
Bu güvenlik açığı, daha önceki “Dirty Pipe” ve “Copy Fail” açıkları ile aynı sınıfta yer almasına rağmen, farklı bir çekirdek veri yapısının fragment alanını kullanıyor.
Etkilenen Sistemler
Henüz bir CVE kodu almamış olan “Dirty Frag,” aşağıdaki Linux dağıtımlarını etkilemektedir:
- Ubuntu
- Red Hat Enterprise Linux
- CentOS Stream
- AlmaLinux
- openSUSE Tumbleweed
- Fedora
Bu dağıtımlar için henüz bir yamanın çıkmadığı belirtiliyor.
Çözüm ve Korunma
Açığın etkilerine karşı korunmak için kullanıcıların aşağıdaki komutları kullanarak saldırganların ulaşımını engellemeleri önerilmektedir:
sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"Güvenlik araştırmacısı Hyunwoo Kim, bu açığı ve bir kanıt konsepti (PoC) sömürüsünü kamuya açıkladıktan sonra, Linux dağıtım yöneticileri ile görüşerek bu belgenin yayımlanmasına karar verdi.
Sonuç
Hızla yayılma potansiyeline sahip bu açığı göz ardı etmemek önemlidir. Kullanıcıların sistemlerini en kısa sürede güncellemeleri ve varsa ilgili portları kapatmaları önerilmektedir. Özellikle federal kuruluşların, CISA’nın açıkladığı gibi Linux cihazlarını güvence altına almak için iki hafta içinde önlemler almaları gerekmektedir. Bu tür açıklara karşı daha proaktif bir yaklaşım benimseyin ve gerekli yamaları uygulamayı ertelemeyin.
