Yedi yıl. Kritik bir Linux çekirdeği zafiyetinin adeta gizli bir bomba gibi bekleme süresi bu. Bu açık, herhangi bir yerel kullanıcının sistemde tam yetkili (root) olmasını sağlıyor. Resmi adı CVE-2026-31431 olan ve ‘Copy Fail’ olarak bilinen bu kusurun, 2017’den bu yana çıkan hemen hemen tüm büyük Linux dağıtımlarını tehlikeye atabileceği konusunda araştırmacılar uyarıyor.
Ve en çarpıcı yanı şu: Kamuoyuna açık bir exploit (istismar aracı) zaten mevcut ve raporlara göre güvenilir bir şekilde çalışıyor. Bu teorik bir endişe değil; net ve acil bir tehlike. Böylesine geniş bir etki alanına sahip bir zafiyet, insanı saçını başını yolmaya itecek cinsten.
On Yıldır Tıklayan Lojik Bomba
Peki, Copy Fail tam olarak ne anlama geliyor?
Bu, Linux çekirdeğinin kriptografik alt sistemine derinlemesine yerleşmiş bir yerel yetki yükseltme zafiyeti. Bir saniye düşünün: Genellikle gördüğümüz bellek taşmaları veya kontrolsüz bellek yazmalarıyla ilgili bir durum değil bu. Bu, çekirdeğin dosya verilerini bellek önbelleğinde nasıl işlediğiyle ilgili ince bir mantıksal hata.
Olayın özü şu: Yerel bir kullanıcı, bellekteki bir dosyanın önbelleğe alınmış kopyasını manipüle edebilir. En kritik nokta? Bu değişiklik sadece çekirdeğin sayfa önbelleğinde (page cache) var oluyor. Disk üzerindeki asıl dosya ise olduğu gibi kalıyor. Bu ne anlama geliyor? Standart disk adli inceleme araçları bu durumu tespit edemez. Bir yeniden başlatma veya sistem belleğinin baskı altına girmesi bile bozulmuş önbelleği temizleyip temiz dosyayı yeniden yükleyebilir. Makinenin içindeki bir hayalet gibi, kimse bakmıyorken gerçekliği değiştiriyor.
Herkes Linux çekirdeğindeki bellek bozulması hatalarına odaklanıyor ama mantıksal hataları göz ardı etmemeliyiz.
Araştırmacı 5unkn0wn’dan gelen bu alıntı, en sinsi tehditlerin her zaman en gürültülü veya ham kod yürütme açısından en karmaşık olanlar olmadığını acı bir şekilde hatırlatıyor. Bazen basit bir durum anlayışsızlığıdır.
Kirli Aile Yadigarları
Anlaşılır bir şekilde, şimdiden karşılaştırmalar yapılıyor. Copy Fail, Dirty Cow (CVE-2016-5195) ve Dirty Pipe (CVE-2022-0847) gibi devlerle yan yana konuluyor. Her ikisi de manşetlere taşındı, her ikisi de CISA’nın Bilinen İstismar Edilen Zafiyetler kataloğuna girdi ve her ikisi de çekirdeğin bütünlüğüne olan güveni temelden sarstı.
Ancak Copy Fail’in kendisini farklılaştırdığı yer burası görünüyor. Dirty Cow’un istismar edilmesi için birden fazla deneme gerektirebilen hassas bir yarış koşulu durumu veya Dirty Pipe’ın bir dosyanın neresine veri yazılabileceği konusunda belirli kısıtlamaları olmasının aksine, Copy Fail’in raporlara göre sadece çalıştığı söyleniyor. Özel bir zamanlama gerektirmiyor, karmaşık kısıtlamalar yok. Sadece tetikleniyor ve siz root oluyorsunuz.
Kimler Gerçekten Risk Altında?
Eğer 4.14 veya daha üstü bir çekirdek sürümü çalıştıran bir Linux sisteminiz varsa, muhtemelen tehlike alanındasınız. O çekirdek sürümü 2017’ye dayanıyor. Evet, doğru okudunuz. Yedi yıllık kod, sessizce bu kusuru taşıyor. Orijinal araştırma ekibi Tenable’ın RSO’su, bu kusurun Theori’nin yapay zeka destekli güvenlik tarama aracı Xint Code kullanılarak bulunduğunu belirtiyor ve bu da zafiyet keşfinin evrilen manzarasını vurguluyor.
Tehlike, paylaşımlı ortamlarda dramatik bir şekilde artıyor. Çok kiracılı bulut sistemlerini, konteyner kümelerini, güvenilmeyen kod çalıştıran CI/CD pipeline’larını düşünün. Exploit, çekirdeğin paylaşımlı dosya önbelleğini hedeflediği için konteyner sınırlarını aşabiliyor bile. Tek kullanıcılı bir iş istasyonunda risk daha düşüktür - zaten başlamak için yerel erişime sahip olmanız gerekir. Ancak paylaşımlı hesaplama gücü veya güvenilmeyen kullanıcı girdisinin olduğu herhangi bir ortamda bu, beş alarm anlamına gelir.
Yamalama: Rahatsız Edici Gerçek
Bu yazı yazıldığı sırada yama durumu, nazikçe söylemek gerekirse, karışık. Arch Linux zaten yamaları yayınladı. Ubuntu, SUSE ve Red Hat süreçte. Debian ve Amazon Linux? Hala savunmasız durumda. Bu sadece çekirdek geliştiricileriyle ilgili değil; tüm ekosistemin yanıt verme, test etme ve düzeltmeleri dağıtma yeteneğiyle ilgili.
Ve sonra halka açık exploit var. Kısa bir Python betiği, kolayca erişilebilir ve bellekteki ayrıcalıklı bir ikiliyi (privileged binary) hassas bir şekilde hedefliyor. Zafiyetin gücünün ürkütücü derecede zarif bir gösterimi; özel ayrıcalıklar veya karmaşık bir kurulum gerektirmiyor. Sadece çalıştırıyorsunuz ve root erişimi sizin oluyor.
Acil Tehdidin Ötesi
İşin ilginç yanı, Theori’den gelen ipucu: Copy Fail tek başına hareket etmiyor. Aynı araştırma çabası, başka çekirdek kusurlarını, en az bir tane daha yetki yükseltme sorununu ortaya çıkardı. Bu, potansiyel olarak daha derin bir mimari sorun veya belirli bir çekirdek alt sisteminde tutarlı bir gözden kaçırma olduğunu gösteriyor. Bu diğer bulgular açıklandıkça yakından izleyeceğiz.
Şimdilik tavsiye basit, ancak göz korkutucu: Sistemlerinizi yamalayın. Çekirdek sürümlerinizi doğrulayın. Ve eski, yamalanmamış sistemlerde kritik altyapı çalıştıranlar için? Kesinti süresini planlamaya başlayın. Halka açık bir exploit ve yedi yıllık bir başlangıç avantajıyla, göz ardı etmeyi göze alamayacağınız bir hata türü değil bu.
Diğer Linux Dağıtımları Ne Durumda?
Sağlanan tablo bazı önemli dağıtımları listelerken, bu zafiyet 4.14 veya daha üstü çekirdek çalıştıran herhangi bir Linux dağıtımını etkiliyor. Bu, çok sayıda yapılandırmayı ve kurumsal dağıtımı kapsıyor. Yama durumu ve zaman çizelgesi için özel dağıtım sağlayıcınızla görüşmeniz çok önemli.
Bu Exploit Sistemimi Bozacak mı?
Exploit root erişimi sağlasa da, güvenilir çalışması altta yatan çekirdek zafiyetine bağlıdır. Dağıtım sağlayıcınızdan gelen resmi çekirdek yamalarını uygulamak, zafiyeti etkisiz hale getirecek ve exploit’in başarılı olmasını engelleyecektir, böylece sistem kararlılığını sağlayacaktır.
Bu Yakın Zamanda Duyduğum Bir Fidye Yazılımı Saldırısına Benziyor mu?
Copy Fail gibi yetki yükseltme zafiyetleri, fidye yazılımı aktörleri tarafından daha derin erişim ve sistemler üzerinde kontrol elde etmek için sıkça kötüye kullanılsa da, bu özel CVE’nin yamalanması gereken teknik bir zafiyettir. Etkisi geniştir ve gelecekteki saldırılar için bir vektör olabilse de, kendisi fidye yazılımı değildir.
