Siber Güvenlik ve Altyapı Ajansı (CISA), yeni keşfedilen ve 'Copy Fail' olarak adlandırılan bir Linux açığını, aktif saldırılarda kullanıldığı uyarısıyla birlikte, 1 Mayıs'ta Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi. Bu kritik zafiyet, sistemlerde kök (root) yetkilerinin ele geçirilmesine olanak tanıyor.
CVE-2026-31431 olarak takip edilen bu güvenlik açığı, Linux çekirdeğindeki 'algif_aead' kriptografik arayüzünde bulunuyor. Bu zafiyet, ayrıcalıksız yerel kullanıcıların sistemde kök yetkilerine yükselmesine izin veriyor. Yani, bir saldırganın sisteme sınırlı erişimi olsa bile, tam yönetici kontrolünü ele geçirebiliyor.
Güvenlik araştırmacıları tarafından geçtiğimiz hafta kamuoyuna duyurulan bu zafiyetle birlikte, çalışan bir konsept istismar (proof-of-concept exploit) da yayınlandı. Araştırmacılara göre, bu istismar, Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ve SUSE 16 gibi birçok büyük Linux dağıtımında değişiklik yapmaya gerek kalmadan %100 güvenilirlik sağlıyor. Bu kadar kolay uygulanabilir olması, saldırganların bu hatayı kullanma eşiğini düşürüyor.
Teknik olarak bakıldığında, bu hata saldırganların, çekirdeğin sayfa önbelleğine (page cache) kontrollü veri yazmalarını sağlıyor. Bu da sonuç olarak yetki yükseltilmesine yol açıyor. İstismar için yerel erişim gerekmekle birlikte, standart kullanıcı kısıtlamalarını aşarak sistemin tam kontrolünü ele geçirmeyi mümkün kılıyor.
Riskleri artıran bir diğer durum ise, ilgili posta listelerindeki tartışmalara göre, bu güvenlik açığının ve çalışan istismar kodunun, Linux dağıtım geliştiricileriyle önceden koordinasyon yapılmadan kamuoyuna açıklanmış olması. Normalde, teknik detaylar kamuoyuna duyurulmadan önce, dağıtımcıların yamaları hazırlaması ve dağıtması için önceden bilgilendirme yapılır. Ancak bu durumda, geliştiricilere herhangi bir bildirim yapılmadığı ve bu nedenle bazı dağıtımların, zafiyetin kamuoyuna açıklanması anında hazır yamaları bulunmadığı belirtiliyor. Eski uzun süreli destek (LTS) çekirdek dallarında henüz geriye dönük yama uygulanmadığı ve geliştiricilerin etkilenen kriptografik modülleri devre dışı bırakmak gibi geçici çözümlere güvenmek zorunda kaldığı ifade ediliyor.
Sonuç olarak, savunucuların güncellemeleri hızla dağıtmaya çalışırken, saldırganların ise kamuya açık istismar kodunu hemen kullanabileceği dar bir müdahale penceresi oluşmuş durumda.
CISA'nın bu açığı, istismar edilen güvenlik açıkları listesine alışılmadık bir hızla dahil etmesi, sorunun önemli ve acil bir risk oluşturduğunun bir göstergesi. CISA, ABD federal kurumlarına, operasyonel zorunlu bildiri 22-01'e uygun olarak iki hafta içinde yama uygulama süresi tanırken, tüm kuruluşları da düzeltme işlemlerine öncelik vermeye çağırdı.
Linux sağlayıcıları, bu açığı gidermek için çekirdek güncellemelerini yayınlamaya başladı. Ancak, istismar kodunun zaten aktif olması nedeniyle, eski veya yamalanmamış sistemleri kullanan kullanıcılar, düzeltmeler uygulanana kadar savunmasız kalmaya devam edebilir.
