Güvenlik araştırmacıları, Linux çekirdeğindeki nadir görülen tek bir karakter hatasının, yetkisi olmayan kullanıcıların sistemde kök (root) yetkilerine erişmesine olanak tanıyan ciddi bir zafiyet oluşturduğunu ortaya çıkardı.
CVE-2026-23111 olarak takip edilen bu zafiyet, Linux çekirdeğinin paket filtreleme yeteneklerini sağlayan nf_tables alt sisteminde bulunuyor. Bu sistem, gelişmiş güvenlik duvarı kurallarını yönetmek ve eski iptables, ip6tables, arptables ve ebtables gibi sistemlerin yerini almak için kullanılıyor.
Tek Bir Hatalı Ünlem İşareti Yeter!
nf_tables kodundaki tek bir yanlış yazılmış ünlem işareti (!), bellek yönetimi hatası olan “use-after-free” (kullanım sonrası serbest bırakma) zaafiyetine yol açmış. Bu tür zafiyetler, belleğin daha önce serbest bırakılmamış bölümlerine zararlı kod yerleştirilerek belleğin bozulmasına neden olur. CVE-2026-23111, yetkisiz bir kullanıcı veya işlemin sistem haklarını kök düzeyine yükseltmek için istismar edilebilir.
Bu istismar, paketlerin belirli bir kurala uyup uymadığını belirleyen “verdict” (hüküm) silme işlemini bozarak çalışıyor. Bu süreçte, eşleşme bulunmadığı durumlarda joker karakter gibi davranan “catchall” (her şeyi kapsayan) öğeler kullanılıyor.
Bir hüküm haritası bellekten silindiğinde, catchall öğeler devre dışı bırakılır ve bir zincirin referans sayacı azaltılır. Hatalar oluştuğunda, silme işlemi geri alınabilir ve sayaç artırılabilir. CVE-2026-53111, bu süreci manipüle etmeye imkan tanıyor. Sonuç olarak, istismarcı değişkeni istediği kadar azaltabilir ve ardından bazı nesneler hala ona işaret ederken zinciri silip serbest bırakabilir.
Güvenlik firması Exodus Intelligence’dan araştırmacılar, “Bu blog yazısında, tek bir yanlış ünlem işaretinin nasıl bir use-after-free zafiyetine yol açtığını ve bunun Debian ve Ubuntu üzerinde yetkisiz bir kullanıcı tarafından kök yetkilerine erişmek için nasıl istismar edilebileceğini gördük. İstismar, çekirdek taban adresini sızdırmak, yığın adreslerini sızdırmak ve kontrol akışını ele geçirmek için use-after-free zafiyetini birden çok kez tetiklese de, istikrar testleri boş bir sistemde %99’un üzerinde bir kararlılıkla sonuçlandı.” ifadelerini kullandılar.
Bu zafiyet, Şubat ayında çekirdekte giderildi. FuzzingLabs güvenlik firması Nisan ayında konuya ilişkin bir konsept kanıtı (PoC) istismarını gösterdi. Zafiyeti keşfeden Exodus Intelligence ise Pazartesi günkü paylaşımlarında kendi PoC istismarını da ekledi. Bu istismar Debian ve Ubuntu üzerinde çalıştı.
CVE-2026-53111, son haftalarda Linux'u etkileyen en az üç ciddi yetki yükseltme zafiyetinden biri. Bu zafiyetler, işletim sistemine entegre edilmiş güvenlik savunmalarını aşmak için kullanılabileceği için oldukça tehlikeli.
