Giriş
Son zamanlarda, Linux çekirdeğinin rxgk modülünde keşfedilen bir yerel ayrıcalık yükseltme açığı, kötü niyetli saldırganların bazı Linux sistemlerinde kök erişimi elde etmesine olanak tanıyan bir kanıtı ortaya çıkardı. Bu güvenlik açığı, doğru bir şekilde giderildiği bildirilmesine rağmen, hala ciddi bir tehdit oluşturma potansiyeline sahip.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, “DirtyDecrypt” veya “DirtyCBC” olarak adlandırılmakta olup, CVE-2026-31635 ile ilişkilendirilmektedir ve 25 Nisan 2026’da yamanmıştır. Saldırının başarıyla gerçekleştirilmesi için Linux çekirdeği üzerinde CONFIG_RXGK yapılandırma seçeneğinin etkin olması gerekmektedir. Bu seçenek, Andrew Dosya Sistemi (AFS) istemcisi ve ağ taşınması için RxGK güvenlik desteğini sağlar.
- Bu durum, saldırı alanını en son üst akıntı çekirdek sürümlerini takip eden Linux dağıtımları ile sınırlamaktadır:
- Fedora
- Arch Linux
- openSUSE Tumbleweed
V12 güvenlik ekibi, bu açığı önceki hafta bulmuş ve testlerini yalnızca Fedora ve ana akım Linux çekirdeği üzerinde gerçekleştirmiştir.
Etkilenen Sistemler
“DirtyDecrypt”, son haftalarda açıklanan çok sayıda kök yükseltme açığı ile aynı sınıfa girmektedir. Bu sınıfa dahil diğer açıklar şunlardır:
- Dirty Frag
- Fragnesia
- Copy Fail
Linux kullanıcılarının, DirtyDecrypt’ten etkilenebilecek dağıtımlarda mümkün olan en kısa sürede en son çekirdek güncellemelerini yüklemeleri önerilmektedir.
Çözüm ve Korunma
Eğer cihazınızı hemen güncelleyemiyorsanız, Dirty Frag için kullanılan aynı önlem ile korunma sağlanabilir. Ancak bu çözüm, IPsec VPN’leri ve AFS dağıtımlı ağ dosya sistemlerini de bozabilir. Uygulanabilir komut dizisi şu şekildedir:
sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
Son günlerde, Copy Fail açığının aktif olarak istismar edildiğine dair raporlar bulunmaktadır. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Copy Fail’i 1 Mayıs’ta istismar edilen açıklar listesine eklemiş ve federal ajanslara Linux cihazlarını 15 Mayıs’a kadar güvence altına alma talimatı vermiştir.
Aksiyon
Eğer Linux dağıtımınızı etkileyecek olan bu güvenlik açığından korunmak istiyorsanız, mutlaka en son güncellemeleri yüklemelisiniz. Eğer güncelleme yapamıyorsanız, yukarıda belirtilen geçici çözümü uygulayarak cihazınızı riske atmaktan koruyabilirsiniz. Kısa süre içinde güncelleme yapma imkanını değerlendirin ve sistem güvenliğinizi ön planda tutun.
