7.8. CVSS puanı bu. Yüksek. Ve boşuna değil.
Microsoft Defender, CVE-2026-31431‘i, yani ‘Copy Fail’ adıyla bilinen bu zafiyeti dert ediyor. Bu, öyle nadir görülen akademik bir merak konusu değil. Bulutların çoğunu çalıştıran sistemlerde doğrudan root erişimine giden bir bilet adeta. Red Hat, SUSE, Ubuntu, hatta Amazon Linux’tan bahsediyoruz. Milyonlarca sunucu. Milyonlarca Kubernetes kümesi. Hepsi, üzerinde kod çalıştırmayı başarmış birileri tarafından potansiyel olarak tehlikeye girebilir. Vay halimize.
‘Copy Fail’ Fiyaskosu Açıklanıyor
Teknik detaylar biraz karmaşık olsa da sonuç basit. Linux çekirdeğinin kripto alt sistemindeki, özellikle AF_ALG modülündeki bir kusur, saldırganların dosya önbelleklerini bozmasına imkan tanıyor. Diskteki dosyayı değil, bellekteki sürümünü. Bunu, orijinal çizimi bozmadan bir planın fotokopisine karalamak gibi düşünebilirsiniz. Üstelik bu plan, /usr/bin/su gibi kritik bir sistem dosyasına ait, yani sizi root yapan o dosya.
Ve şuna bakın: exploit boyutu küçücük. Sadece 732 byte. Deterministik çalışıyor. Yarış koşullarına gerek yok. Kötü amaçlı bir CI işine, tehlikeye girmiş bir konteynıra sızdırılabilir veya zaten SSH üzerinden bir erişimi olan biri tarafından kullanılabilir. Exploit, setuid ikili dosyasını bozabilir ve bu ikili dosya çalıştırıldığında — pat! Anında root erişimi. Bu teorik değil; konsept kanıtı kodları şimdiden ortada.
Neden Şimdi ve Neden Önemli?
Bu zafiyet 2017’den beri ortalıkta dolaşıyormuş. Evet, 2017. Yıllardır, kolayca root erişimi sağlayan bir hata fark edilmeyi bekliyormuş. Microsoft şimdilerde öncelikli test faaliyetleri görüyor. CISA, bilinen istismar edilen zafiyetler kataloğuna ekledi. Geri sayım başladı. Saldırganlar kesinlikle bu açık üzerine çökecek.
Buradaki kilit nokta, tespit edilmesinin zor olması. Bozulma bellekte gerçekleşiyor. Belirli bir şekilde aramazsanız tespit etmek zor. Bulut ortamlarında, konteynerler sayfa önbelleklerini paylaştığında, bu durum sandbox’ınızdan kaçıp aynı host’taki diğer kiracıları tehlikeye atmanın tek yolu haline geliyor. Bu, bulut güvenliği ekipleri için tam bir kabus. Karmaşık olduğu için değil, acımasızca etkili olduğu için yaygın kesintilere ve ihlallere neden olan türden bir hata.
Sunucunuz Güvende mi?
2017’den itibaren çıkan çekirdeklere sahip herhangi bir Linux dağıtımını en son yamalı sürümlere kadar çalıştırıyorsanız, muhtemelen savunmasızsınız. Bu, Ubuntu (yeni LTS sürümleri bile), Amazon Linux 2023, RHEL 10.1 ve SUSE 16’yı içeriyor. Liste uzayıp gidiyor: Debian, Fedora, Arch. Kısacası, Linux’u bulutta çalıştırıyor ve düzenli olarak yama yapmıyorsanız, açıktasınız.
Bu sadece tek bir sunucuyla ilgili değil. Milyonlarca iş yükünü düşünün. CI/CD pipeline’larını. Paylaşımlı hosting ortamlarını. Buradaki başarılı bir exploit, konteynerden kaçışa, çok kiracılı sistemlerin ele geçirilmesine ve yanal harekete yol açabilir. Olmayı bekleyen bir domino etkisi. Özellikle kritik altyapı çalıştıran veya hassas verileri işleyen işletmeler için sonuçları devasa. Tamamen bulut ekosistemlerinin güvenliğini baltalayan temel çekirdek kusurlarının nasıl olabileceğinin harika bir örneği.
“Linux çekirdeği‘nin kripto alt sistemindeki bir hata, bir saldırgan tarafından okunabilir herhangi bir dosyanın, setuid ikili dosyaları dahil olmak üzere, önbelleğini bozmak için kötüye kullanılabilir.”
Bu zafiyet sadece teknik bir sorun değil; dijital altyapımızın kırılganlığının bir hatırlatıcısı. Bu kadar eski, bu kadar etkili bir hatanın, yıllarca süren geliştirme ve güvenlik güçlendirmesinden sonra şimdi ortaya çıkması açıkçası üzücü. Bu, savunmacılar ve saldırganlar arasındaki devam eden bir silahlanma yarışının çarpıcı bir örneği ve bazen de saldırganlar, krallığın anahtarlarını dikkatsizce tezgahın üzerinde buluyor.
“Exploit için birincil ön koşul, etkilenen kripto modülü etkinleştirilmiş, savunmasız bir Linux çekirdeği çalıştıran bir sistemde yerel ayrıcalıklı olmayan bir kullanıcı olarak kod çalıştırma yeteneğidir.”
Peki ne yapmalı? Yamalayın. Hemen. Ve hemen yama yapamıyorsanız, tespit ve avlanma kuralları uygulayın. Microsoft Defender bazı rehberlik yayınladı ve CISA bunu işaretledi. Beklemeyin. ‘Copy Fail’ zafiyeti ortadan kaybolmayacak ve onu sömürmek isteyen saldırganlar da kaybolmayacak. Bu, yüksek önemde bir yerel ayrıcalık yükseltme ve şimdiden ortada.
🧬 İlgili Analizler
- Daha Fazla Okuyun: Mart Güvenliği: Hackerlar Sağlık Teknolojisine Saldırdı, Veri Hırsızlığı Arttı
- Daha Fazla Okuyun: İranlı Hackerlar ABD PLC’lerini Ele Geçirdi: Beklediğimiz Dijital Sabotaj
Sıkça Sorulan Sorular
CVE-2026-31431 ne işe yarıyor? Savunmasız bir Linux sisteminde ayrıcalıklı olmayan bir kullanıcının root ayrıcalıkları elde etmesini sağlar. Bu, çekirdeğin setuid ikili dosyaları gibi kritik sistem dosyalarının önbelleğini bozarak başarılır.
Bu Linux zafiyeti ne kadar yaygın? Red Hat, SUSE, Ubuntu ve Amazon Linux gibi büyük Linux dağıtımlarının geniş bir yelpazesini etkiliyor ve dünya çapında milyonlarca bulut sunucusunu ve Kubernetes kümesini potansiyel olarak etkiliyor.
Bu zafiyeti düzeltebilir miyim? Evet. Birincil azaltma yöntemi, Linux dağıtımınız tarafından yayınlanan güvenlik yamalarını uygulamaktır. Microsoft Defender ve CISA da etkilenen sistemler için ek rehberlik ve tespit yöntemleri sundu.
