Linux kullanıcıları, son iki hafta içinde ikinci kez ciddi bir güvenlik açığıyla karşı karşıya kaldı. Yeni keşfedilen 'Dirty Frag' adlı bu açık, konteynerlerdeki ve güvenilmeyen kullanıcılardaki sistemleri etkileyerek root (yönetici) erişimi elde etme imkanı sunuyor.
Dirty Frag, düşük yetkili kullanıcıların, hatta sanal makineler kullananların bile sunucular üzerinde tam kontrol sağlamasına olanak tanıyor. Özellikle birden fazla kullanıcının aynı sunucuyu kullandığı paylaşımlı ortamlarda saldırılar için uygun bir zemin hazırlıyor. Saldırganlar, sisteme ilk adımı atabilecekleri ayrı bir exploit koduna erişebildikleri sürece root yetkisi elde edebiliyorlar. Exploit kodu üç gün önce internete sızdı ve neredeyse tüm Linux dağıtımlarında güvenilir bir şekilde çalışıyor. Güvenlik firmaları, saldırganların Dirty Frag'ı aktif olarak denediğine dair işaretler tespit ettiklerini belirtiyor.
Acil ve Önemli Tehdit
Sızdırılan exploit'in deterministik olması, yani her çalıştırıldığında aynı şekilde davranması ve farklı Linux dağıtımlarında da geçerli olması, onu daha tehlikeli hale getiriyor. Ayrıca, herhangi bir çökme yaşatmaması sayesinde fark edilmesi de zorlaşıyor. Geçtiğimiz hafta duyurulan ve henüz son kullanıcılar için yaması bulunmayan 'Copy Fail' adlı bir başka güvenlik açığı da benzer özelliklere sahip.
Güvenlik araştırmacıları, 'Dirty Frag'ın yamalanmamış çekirdek açıklarından faydalanarak yetkisiz kullanıcıların root erişimi elde etmesine imkan tanıdığı için Linux sistemleri için acil ve önemli bir tehdit oluşturduğunu vurguluyor. Konsept kanıtı exploit kodlarının kamuoyuna açık olması ve sınırlı sayıda saldırı girişiminin görülmesiyle birlikte, kurumların sistemlerini potansiyel ihlallerden korumak için hızla yamaları uygulaması ve azaltma önlemleri alması gerektiği belirtiliyor.
Dirty Frag, araştırmacı Hyunwoo Kim tarafından geçen haftanın sonlarında keşfedildi ve duyuruldu. Exploit, CVE-2026-43284 ve CVE-2026-43500 olarak takip edilen iki güvenlik açığını kullanarak zincirleme bir saldırı gerçekleştiriyor. Duyurudan kısa bir süre sonra, başka biri kritik detayları sızdırarak güvenlik açığını adeta 'sıfır gün' haline getirdi. Bunun üzerine Kim, geliştirdiği konsept kanıtı exploit'in kaynak kodunu yayınladı. Her iki güvenlik açığı da Linux çekirdeğinde yamalanmış olsa da, henüz hiçbir dağıtım bu düzeltmeleri tam olarak entegre edememişti.
Bu haberin yayınlandığı sırada, Debian, AlmaLinux ve Fedora gibi bazı dağıtımlar yama yayınladı. Diğer dağıtımları kullananların ise resmi sağlayıcılarıyla iletişime geçmeleri öneriliyor.
Her iki yetki yükseltme güvenlik açığı da, çekirdeğin bellekte saklanan sayfa önbelleklerini (page cache) ele alış biçimindeki hatalardan kaynaklanıyor ve güvenilmeyen kullanıcıların bu önbellekleri değiştirmesine izin veriyor. Özellikle ağ ve bellek parçalanması işleme bileşenlerindeki önbellekleri hedef alıyorlar. Detaylı olarak bakıldığında, CVE-2026-43284 ESP4 ve ESP6 süreçlerini etkilerken, CVE-2026-43500 ise RxRPC'yi hedef alıyor. Geçen haftaki CopyFail ise IPsec genişletilmiş sıra numaraları için kullanılan kimlik doğrulama işleme (authencesn) sürecindeki hatalı sayfa önbelleklemesinden faydalanıyordu. 2022'de ortaya çıkan Dirty Pipe adlı güvenlik açığı da benzer şekilde sayfa önbelleklerinin üzerine yazılabildiği kusurlardan kaynaklanmıştı.
Güvenlik firması Automox'tan araştırmacılar, CVE-2026-43284'ün IPsec ESP alım yolundaki esp_input() sürecinde bulunduğunu belirtiyor. SKB nesnesi doğrusal değilken ve bir frag listesi bulunmuyorken, kod, SKB_COW_DATA() adımlarını atlayarak doğrudan yerleştirilmiş frag üzerinde AEAD'yi şifreliyor. Bu durum, saldırganların dosya ofsetini ve her depolamanın 4 baytlık değerini kontrol etmesine imkan tanıyor.
CVE-2026-43500 ise rxkad_verify_packet_1() sürecinde yer alıyor. Bu süreç, RxRPC paketlerini tek bloklu bir işlemle çözüyor. Splice ile sabitlenen sayfalar hem kaynak hem de hedef haline geliyor. Bu durum, şifre çözme anahtarının add_key (rxrpc) kullanılarak serbestçe çıkarılabilmesiyle birleştiğinde, saldırganların bellekteki içerikleri yeniden yazmasına olanak tanıyor.
Tek başına kullanılan her bir exploit, güvenilir sonuç vermiyor. Örneğin, bazı Ubuntu yapılandırmalarında AppArmor, güvenilmeyen kullanıcıların isim alanları oluşturmasını engelleyerek ESP tekniğini etkisiz hale getirebiliyor. Çoğu diğer dağıtım ise varsayılan olarak RxRPC.ko çalıştırmadığı için RxRPC kolunu devre dışı bırakıyor. Ancak, iki exploit bir araya geldiğinde, saldırganların Kim'in test ettiği tüm büyük dağıtımlarda root yetkisi elde etmesine imkan tanıyor. Exploitler çalıştıktan sonra, saldırganlar SSH erişimi, web shell yürütme, konteynerlerden kaçış veya düşük yetkili hesapları ele geçirme gibi yöntemler kullanabiliyor.
Microsoft araştırmacıları, Dirty Frag'ın, exploit güvenilirliğini artırmak için RxRPC ve ESP/XFRM ağ bileşenlerini içeren birden fazla çekirdek saldırı yolu sunmasıyla dikkat çektiğini belirtiyor. Linux yerel yetki yükseltme exploit'lerinde sıkça görülen dar zaman pencerelerine veya kararsız bozulma koşullarına güvenmek yerine, Dirty Frag'ın savunmasız ortamlarda tutarlılığı artırmak üzere tasarlandığı ifade ediliyor.
Google'a ait Wiz firmasının araştırmacıları ise, varsayılan güvenlik ayarlarının uygulandığı Kubernetes gibi sertleştirilmiş konteyner ortamlarından kaçışın exploit'lerle daha az olası olacağını öngörüyor. Ancak, sanal makineler veya daha az kısıtlanmış ortamlar için riskin hala önemli olduğu belirtiliyor.
Linux kullanan herkes için en iyi tepki, yamaları derhal kurmaktır. Yamalar muhtemelen yeniden başlatma gerektirse de, Dirty Frag gibi ciddi bir tehditten korunmanın maliyeti, aksama maliyetlerinden daha ağır basar. Hemen yama yükleyemeyenlerin, yukarıda belirtilen bağlantılarda yer alan azaltma adımlarını takip etmesi öneriliyor. Ek rehberlik de ilgili kaynaklarda bulunabilir.
