Sistem yöneticilerinin dikkatine! 2017'den bu yana birçok Linux sistemini etkileyen ve anında kök (root) erişimi sağlayan iki kritik güvenlik açığı ortaya çıktı. Bu seferki kötü haberin kaynağı ise Dirty Frag güvenlik açığı. Bu açık, yakın zamanda gündeme gelen ve birçok Linux sunucusunu alarma geçiren Copy Fail açığına benzer bir mekanizma kullanıyor.
Dirty Frag açığı, 2017'den bu yana piyasaya sürülen neredeyse tüm Linux yüklemelerini etkiliyor. Bu açığa karşı herhangi bir ön uyarı yapılmadığı için henüz bir yama (patch) mevcut değil. Görünüşe göre, güvenlik açığının yayılmasından önce gerekli hazırlıkların yapılmasını engelleyen bir gizlilik anlaşmasının (embargo) bozulması bu duruma yol açmış.
Bilindiği üzere, herhangi bir yerel kullanıcı, etkilenen bir sistemde küçük bir program çalıştırarak anında kök (yönetici) erişimi elde edebiliyor. Saldırı, belirli sistem koşullarına veya zamanlamaya bağlı değil; basit bir mantık hatasından kaynaklanıyor. 2017'den bu yana piyasaya sürülen Ubuntu'nun güncel sürümleri (24 ve 26), Arch, RHEL, OpenSUSE, CentOS Stream, Fedora ve Alma gibi popüler Linux dağıtımlarının çoğu bu açıktan etkileniyor. Hatta WSL2 üzerinde yapılan testlerde de bu açığın başarıyla tetiklendiği gözlemlendi.
Dirty Frag, halihazırda yama seçeneklerinin olmamasıyla daha da tehlikeli bir hal alıyor. Ana Linux çekirdeğinde bile henüz bir yama görünmüyor. Bir sistem yöneticisi, 7.0.3-1-cachyos çekirdeğini çalıştıran bir CachyOS makinesinde ve güncellenmiş bir Arch sisteminde bu açığı başarıyla tetiklediğini bildirdi. Bu nedenle, sistem güncellemelerini yakından takip etmek ve yamalar yayınlanır yayınlanmaz sunucuları güncellemek büyük önem taşıyor.
Neyse ki, bu güvenlik açığının etkilerini azaltmak için basit bir çözüm mevcut ve çoğu sunucunun işleyişini etkilemesi pek olası değil. Tek yapılması gereken, esp4, esp6 ve rxrpc modüllerini devre dışı bırakmak. Bu modüllerin hepsi IPSec ağlarıyla ilgili ve söz konusu makine bir IPSec istemcisi veya sunucusu olarak kullanılmadıkça genellikle tercih edilmiyor. Bu modülleri şu komutlarla devre dışı bırakabilirsiniz:
Dirty Frag'ın herkesi hazırlıksız yakalamasının nedeni, güvenlik açığının 30 Nisan'da Linux çekirdek ekibine bildirilmiş olmasına rağmen, "ilişkisiz bir üçüncü taraf" tarafından gizlilik anlaşmasının bozulması. Bu durum, kötü niyetli aktörlerin açığı zaten kullanmaya başladığı ve bu yüzden gizlilik anlaşmasının bozulduğu yönündeki en güçlü teori olarak öne çıkıyor.
Teknik detaylara bakıldığında, bu açığın Copy Fail ile benzerlik gösterdiği görülüyor. Her ikisi de sayfa önbelleği (page cache) tanımlayıcısını kullanarak sıfır kopyalama (zero-copy) işlemini istismar ediyor. Ancak bu sefer sorun, IPSec ile ilgili modüllerde yer alıyor. Orijinal güvenlik açığı olan "xfrm-ESP Page Cache Write", 2017'deki cac2661c53f3 çekirdek işleme komutuyla ortaya çıktı ve birçok dağıtımda mevcut. Ubuntu sistemlerinin AppArmor'u bu güvenlik deliğini kapattığı için, zararsız kod zinciri, 2dc334f1a63a işleme komutuyla eklenen "RxRPC Page-Cache Write" adlı ikinci bir güvenlik açığını tetikliyor.
