Giriş
Geliştiriciler tarafından keşfedilen GhostLock (CVE-2026-43499), 15 yıllık bir Linux çekirdek açığıdır. Bu açık, güncellenmemiş sistemlerde herhangi bir kullanıcıya tam root kontrolü sağlayabilmektedir ve bu durum siber güvenlik açısından büyük bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Linux çekirdeğinde, acil bir görevin basit birinin arkasında kalmamasını sağlayan bir sistem bulunmaktadır. Bu sistemin bir parçası, bir görevin beklemeyi bıraktıktan sonra sonlandırılması sırasında temizlik adımlarını içermektedir. Ancak, bir kilit işlemi çıkmaza girdiğinde ve geri dönmek zorunda kaldığında, temizlik yanlış bir anda çalışır ve yanlış görevin kaydını siler.
Bu hata, çekirdeğin daha önce atılmış ve yeniden kullanılmış bir bellek parçasına işaret eden “not” tutmasına neden olur. Bu tür hatalar use-after-free olarak bilinir. Nebula’nın ekibi, bu küçük hatayı, çekirdeği kendi kodlarını root kullanıcı olarak çalıştıracak şekilde kandırmak için bir dizi hileli adım ile birleştirerek tam kontrol sağlamayı başarmıştır. Test makinelerinde, bu işlem yaklaşık beş saniye sürmektedir.
Etkilenen Sistemler
GhostLock , 2011 yılından itibaren Linux’ta bulunmakta ve birçok dağıtımda varsayılan olarak yer almıştır. Açık, 2023 yılında 7.8/10 (yüksek, kritik değil) bir kritiklik puanına sahip olarak derecelendirilmiştir. Çünkü kötü niyetli bir saldırganın sisteme girebilmesi için öncelikle makineye giriş yapmış olması gerekmektedir.
Son güncellemeler ile bu açık, 3bfdc63936dd kodlu düzeltme ile kapatıldı, fakat bu düzeltme bazı sistemlerde ek sorunlar yaratmıştır (CVE-2026-53166). İlgili Linux dağıtımlarının çoğunda bu sorun hâlâ devam etmektedir.
Çözüm ve Korunma
Güncel bir kernel sürümü yüklemek en etkili çözüm olarak karşımıza çıkmaktadır. Mevcut dağıtımınızın en güncel kernelini yükleyin, yalnızca ilk yamalı yapı ile kalmayın. Dağıtımınızın tavsiyelerini kontrol ederek düzeltme paketinin sürümünü doğrulamanız önemlidir.
Aşağıdaki yapılandırmalar, bu açığı zorlaştırsa da tam bir çözüm sağlamamaktadır:
- RANDOMIZE_KSTACK_OFFSET
- STATIC_USERMODE_HELPER
Özellikle paylaşımlı ve çok kullanıcılı makineleri, bulut sunucularını, konteynerleri ve CI koşucularını ilk önce yamalamak gerekmektedir, çünkü saldırganların bu tür sistemlerde yerel taban bulma ihtimali daha yüksektir.
Sonuç
GhostLock açığından korunmak için hemen harekete geçin. Güncel bir kernel yüklemesi yapın, sistemlerinizi ve dağıtımınızı kontrol edin. Portları kapatmak gibi ek önlemler alın ve yazılım güncellemelerini sürekli takip edin. Bu tür güvenlik açıklarının tespiti ve kapatılması, sistemlerinizin güvenliğini sağlamak açısından kritik bir öneme sahiptir.


