Linux Kuşatma Altında.
Fütüristik güvenlik duvarlarınızı bir kenara bırakın. Can sıkıcı bir Linux hatası için halka açık bir açık yayınlandı. Bu, saldırganlara kök erişimi veriyor. Veri merkezlerini, kendi sunucunuzu, hatta belki de kişisel bilgisayarınızı düşünün. Alarmlar çalıyor. Savunmacılar paniklemiş durumda. Tam bir kaos.
Bu teorik bir fısıltı değil. Theori’den araştırmacılar, Çarşamba günü açık kodunu yayınladı. Beş hafta önce Linux çekirdek ekibini uyardılar. Birkaç sürüm için yamalar mevcut. Ama çoğu Linux dağıtımı? Hala savunmasız. Açık, yamalardan önce geldi.
‘CopyFail’ Felaketi
Bu kritik hata mı? CVE-2026-31431, CopyFail olarak adlandırılıyor. Bu, yerel ayrıcalık yükseltme türünde bir açık. Kulağa sıkıcı geliyor, değil mi? Demek istediğim, sisteminizde zaten bulunan biri, en ufak bir izne sahip olmasa bile kral olabilir. Kök kullanıcı. Tam yetki.
Ve bu gerçekten fena bir açık. Tek bir betik. Modifikasyon gerekmiyor. Her şeyde çalışıyor. Bu sadece tek bir sunucuyla ilgili değil. Paylaşımlı altyapılar söz konusu. Kubernetes konteynerleri mi? Tamamen açıkta. Çoklu kiracı sistemleri mi? Paramparça ediliyor. Geliştiriciler için kutsal sayılan CI/CD işlem hatları bile savunmasız. Bir saldırgan, savunmasız bir sisteme sızdığında – diyelim ki hacklenmiş bir WordPress eklentisiyle – bu betiği çalıştırıyor ve BAM. Kök kullanıcı oluyor. O sunucudaki diğer tüm kiracılar? Tamamen hedefte. Açık onları sisteme sokmaz, sadece girdikten sonra olanları dehşet verici derecede kolaylaştırır.
“Yerel ayrıcalık yükseltme” kulağa kuru geliyor, o yüzden açayım. Şu anlama geliyor: Makinede zaten bir şekilde kod çalıştırma yeteneğine sahip bir saldırgan, en sıradan yetkisiz kullanıcı olarak bile kendini kök kullanıcıya terfi ettirebilir. Oradan her dosyayı okuyabilir, arka kapılar kurabilir, her işlemi izleyebilir ve diğer sistemlere geçiş yapabilir.
Bu bir olasılıksal yarış koşulu değil. Bu dümdüz bir mantık. Çekirdeğin kripto API’sinde bir hata var. Basit bir hata. ‘Kopyalama’ işlemi aslında kopyalaması gereken veriyi kopyalamıyor. Amaçlanan tamponun dışına yazıyor. Tasarlanmış çerçeve dışına karalamak gibi. Theori şöyle açıklıyor: “AAD ESN baytlarının ‘kopyalanması’, hedef tamponun dışına çıkmıyor.” Basit. Yıkıcı.
Bu Şimdiye Kadarki En Kötü Linux Açığı mı?
Bazı deneyimli güvenlik uzmanları bunu “son zamanlardaki çekirdekteki en kötü ‘beni kök yap’ açıkları” olarak nitelendiriyor. Yüksek övgü. Dirty Pipe (2022) ve Dirty Cow (2016) ile karşılaştırıyorlar. İkisi de aktif olarak kullanılmıştı. Onlar kötüydü. Bu daha da kötü olabilir.
İşte asıl bomba. Linux dağıtımcıları eski çekirdek sürümlerini kullanmayı severler. Yamaları geriye dönük uyumlu hale getirirler. Tanıdık bir dans. Ama bu sefer? Theori, halka açık ilan etmeden önce dağıtımcılarla koordinasyon kurmamış gibi görünüyor. Etkin olarak sıfır gün bir açık. Ya da bazılarının dediği gibi, bir “sıfır gün yama boşluğu”.
Tharros Labs’tan kıdemli analist Will Dormann, hiç lafı dolandırmadan konuştu. Koordinasyonu “korkunç bir iş” olarak nitelendirdi. Ne demek istedi? Theori etkilenen satıcıları listeledi. Okuyuculara satıcı yamalarını uygulamalarını söylediler. Ama o satıcıların gerçekten yamaları olup olmadığını hiç kontrol etmediler. Hiçbirinde yoktu. Akıl almaz, değil mi?
Theori’den yorum almaya çalışmak mı? Zor şans. Onlara ulaşma girişimleri sonuçsuz kaldı. Bu arada, Arch Linux gibi açığı yamalamış olan dağıtımlar şanslı olanlar. Geri kalanı? Bir saldırganın onları ilk bulmamasını umuyorlar.
Bu sadece teknik bir sorun değil. Bu bir koordinasyon başarısızlığı. Yaygın bir yama uygulamadan halka açık bir açıklama. Dijital dünyayı savunmasız bırakıyor. Linux çalıştıran herkes için, özellikle de paylaşımlı bir ortamda, önümüzdeki birkaç hafta gergin geçecek. Yama uygulamak her şeyden önemli. Ama hasar çoktan verilmiş olabilir. Açık yayınlandı. Kedi torbadan çıktı ve zaten kök kullanıcı olmuş bile.
