Yıllardır karşılaşılan en ciddi Linux güvenlik açığı, neredeyse tüm Linux sürümlerinde kök erişimi sağlayan ve henüz tam olarak yamalanmamış bir zafiyetle ilgili yayınlanan exploit kodunun ortaya çıkmasıyla küresel çapta alarma neden oldu. Siber güvenlik uzmanları, veri merkezleri ve kişisel cihazlardaki ciddi güvenlik ihlallerini önlemek için hızla harekete geçiyor.
Güvenlik firması Theori araştırmacıları tarafından Çarşamba akşamı yayınlanan zafiyet ve bu zafiyeti kullanan exploit kodu, Linux çekirdek güvenlik ekibine özel olarak bildirilmesinden beş hafta sonra kamuoyuna duyuruldu. Ekip, zafiyeti 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 ve 5.10.254 gibi sürümlerde yamalamıştı. Ancak exploit'in yayınlandığı sırada birçok Linux dağıtımı bu düzeltmeleri henüz entegre etmemişti.
Tek Bir Komut Her Dağıtımı Çökertiyor
CVE-2026-31431 olarak bilinen ve CopyFail adı verilen bu kritik kusur, yerel ayrıcalık yükseltme olarak sınıflandırılıyor. Bu tür zafiyetler, yetkisi olmayan kullanıcıların sistemde yönetici seviyesine yükselmesine olanak tanıyor. CopyFail'in özellikle tehlikeli olmasının nedeni, Çarşamba günü yayınlanan tek bir exploit kodu ile tüm savunmasız dağıtımlarda herhangi bir değişikliğe gerek kalmadan çalışabilmesi. Bu sayede bir saldırgan, çok kiracılı sistemleri ele geçirebilir, Kubernetes veya benzeri framework'ler üzerine kurulu konteynerlerden kaçabilir ve CI/CD iş akışları aracılığıyla CopyFail exploit kodunu dağıtan kötü niyetli istekler oluşturabilir.
Araştırmacı Jorijn Schrijvershof, durumu şu sözlerle açıklıyor: “'Yerel ayrıcalık yükseltme' kulağa teknik gelse de, durumu basitleştirelim. Bu şu anlama geliyor: Makinede zaten bir şekilde kod çalıştırma yeteneğine sahip olan bir saldırgan, en sıradan kullanıcı bile olsa, kendini kök (root) yetkisine sahip hale getirebilir. Buradan sonra her dosyayı okuyabilir, arka kapılar kurabilir, tüm işlemleri izleyebilir ve diğer sistemlere sızabilir.”
Schrijvershof, Theori'nin yayınladığı aynı Python betiğinin Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 ve Debian 12 gibi sistemlerde güvenilir bir şekilde çalıştığını ekliyor. Araştırmacı, CopyFail'in adını, IPsec'in genişletilmiş sıra numaraları için kullanılan kimlik doğrulama AEAD şablon işleminin aslında veriyi kopyalaması gerektiği yerde kopyalamamasından aldığını belirtiyor. Bunun yerine, “çağırana ait hedef tamponu geçici bir alan olarak kullanıyor, yasal çıktı bölgesinin 4 bayt ötesine veri yazıyor ve bu veriyi asla geri yüklemiyor.” Theori'ye göre, AAD ESN baytlarının 'kopyalanması' hedef tampon içinde kalmakta 'başarısız oluyor'.
Yılların En Kötü Linux Açığı
Diğer güvenlik uzmanları da CopyFail'in ciddi bir tehdit oluşturduğu konusunda hemfikir. Bir uzman, bu zafiyeti “yakın zamanda çekirdekte görülen 'beni kök yap' türündeki en kötü açıklardan biri” olarak nitelendiriyor. En son bu türden ciddi Linux açıkları arasında 2022'deki Dirty Pipe ve 2016'daki Dirty Cow bulunuyordu. Her iki zafiyet de aktif olarak kötüye kullanılmıştı.
Linux dağıtımları genellikle eski çekirdek sürümlerini kullanmaya devam eder ve yamaları bu eski sürümlere uyarlar. Theori'nin, açıklık süresi sınırına kadar dağıtımlarla iletişime geçtiğine dair herhangi bir işaret bulunmuyor. Exploit'in yamalı dağıtımlar hazır olmadan önce yayınlanması, sıfır gün (zero-day) bir zafiyetin yayınlanmasına çok benzeyen bir duruma yol açıyor. Daha doğru bir ifadeyle “sıfır gün yama boşluğu” olarak adlandırılabilir.
Bir siber güvenlik analisti, “Açıklamayı yapan kuruluş… zafiyet koordinasyonu konusunda kesinlikle berbat bir iş çıkardı. Beni şaşırtan şey şu ki, incelemelerinde hem etkilenen 4 satıcı listeliyorlar hem de okuyuculara satıcı yamalarını uygulamalarını söylüyorlar. Ancak yayından önce, listeledikleri satıcılardan herhangi birinin GERÇEKTEN YAMA SAHİP OLUP OLMADIĞINI kontrol etme zahmetine bile girmemişler. (Hiçbirinde yok.)” ifadelerini kullandı.
Theori temsilcileriyle iletişime geçme girişimleri sonuçsuz kaldı.
Zafiyeti yamalayan dağıtımlar arasında Arch Linux ve RedHat Fedora biliniyor. Bu yazı yayınlandığı sırada azaltma rehberliği yayınlayanlar arasında ise SUSE, RedHat ve Ubuntu bulunuyor. Diğer dağıtımların durumunu öğrenmek isteyenler, ilgili satıcılarla iletişime geçmelidir.
Theori, zafiyeti, araştırmacılarından Taeyang Lee'nin kripto alt sistemindeki (özellikle splice() işlevinin sayfa önbellek sayfalarını ve scatterlist sayfa menşeini kullanma biçimi) keşfedilmemiş alanlar bulduktan sonra keşfettiğini belirtiyor. Şirketin yapay zeka destekli Xint kod güvenlik aracıyla, araştırmacılar yaklaşık bir saatlik tarama süresinden sonra hatayı bulmuşlar. Şirket ayrıca, CopyFail'i kullanarak Kubernetes konteynerlerinden kaçan bir exploit geliştirdiğini de belirtiyor.
CopyFail'in oluşturduğu tehdidin ciddiyeti ve aktif olarak kullanılma olasılığı o kadar yüksek ki, tüm Linux kullanıcılarının sistemlerini derhal incelemeleri gerekiyor. Bireysel dağıtımcılar tarafından sağlanan faydalı azaltma rehberleri ve Schrijvershof'un yukarıda bağlantısı verilen incelemesi bu konuda yol gösterici olacaktır.
