Linux 'Copy Fail' Hatası 9 Yıllık Sistemlerde Root Yetkisi Veriyor

Linux çekirdeğindeki "Copy Fail" olarak adlandırılan yüksek dereceli bir güvenlik açığı, herhangi bir yerel kullanıcının 732 baytlık bir Python betiği ile tam root ayrıcalıkları elde etmesine olanak tanıyor. Bu açık, 2017'den beri yayınlanan Red Hat, Ubuntu ve SUSE dahil olmak üzere hemen hemen her büyük dağıtımı etkiliyor. 7.8 CVSS puanıyla CVE-2026-31431 olarak izlenen kusur, milyonlarca Kubernetes kümesi ve paylaşımlı barındırma ortamı dahil olmak üzere bulut altyapısının büyük bir bölümünü etkiliyor.

Siber güvenlik firması Xint Code, X'te yaptığı bir paylaşımda, "Bu, istismarı son derece basit bir mantık hatasıdır" diyerek, aynı küçük ve taşınabilir Python betiğinin tüm test edilen platformlarda değişiklik yapılmadan çalıştığını belirtti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 1 Mayıs'ta bu açığı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek, federal işletmeler için "önemli riskler" oluşturduğu konusunda uyardı.

Güvenlik açığı, 2017 yılında yapılan bir çekirdek optimizasyonu sırasında ortaya çıkan mantık hatasından kaynaklanıyor. Bir saldırgan, standart sistem çağrılarını birbirine bağlayarak çekirdeğin sayfa önbelleğine (sistemin dosyalara hızlı erişim için geçici kopyalarını tuttuğu RAM alanı) kontrollü 4 baytlık bir yazma işlemi gerçekleştirebilir. Bu, /usr/bin/su gibi yetkili bir programın bellek içi sürümünün, diskteki dosyayı değiştirmeden bozulmasına olanak tanır ve bu da sızmayı çoğu dosya bütünlüğü izleme aracı için görünmez kılar.

İstismarın güvenilirliği ve basitliği, onu çok kiracılı ortamlar için kritik bir tehdit haline getiriyor. Microsoft Defender araştırmacıları, bir saldırganın tek bir konteynerde yer edinmesi durumunda tüm ana bilgisayar düğümünü tehlikeye atabileceğini, bu nedenle konteynerden kaçış ve yanal hareketi kolaylaştırma potansiyeline sahip olduğunu belirtti. Saldırı ilk yerel erişim vektörü gerektirir, ancak bu sağlandıktan sonra root yetkisine yükselme kesinleşir.

### 9 Yıllık Çekirdek Hatası Konteyner Kaçışlarını Nasıl Mümkün Kılıyor?

CVE-2026-31431'in özü, çekirdeğin kriptografik alt sistemi olan algif_aead modülünde yatmaktadır. Yerinde kriptografik işlemler için belleği yeniden kullanarak performansı artırmak amacıyla tasarlanan 2017 tarihli bir değişiklik, belirli bir hata işleme yolunu hesaba katmakta başarısız oldu. Hatayı 23 Mart'ta Linux çekirdek ekibine özel olarak bildiren Theori'deki araştırmacılar, bu ihmalin herhangi bir okunabilir dosyanın sayfa önbelleğine dört baytlık rastgele veri yazmak için kötüye kullanılabileceğini keşfettiler.

Tek bir ana bilgisayardaki konteynerler aynı çekirdeği paylaştıkları için aynı sayfa önbelleğini de paylaşırlar. Bu nedenle, bir konteynerdeki yetkisiz bir süreç, ana bilgisayar veya diğer konteynerler tarafından kullanılan hassas bir ikili dosyanın bellek içi temsilini değiştirmek için Copy Fail istismarını kullanabilir. Bu ikili dosya bir sonraki yürütüldüğünde, saldırganın değişiklikleriyle çalışarak root erişimi sağlar ve tüm konteyner izolasyon sınırlarını etkili bir şekilde yıkar. Bu durum, savunmasız bir web uygulaması gibi yollarla bir konteynerin ele geçirilmesini, tüm sistemin ele geçirilmesi potansiyeline dönüştürür.

### Yamalar Yayınlandıkça Azaltma Önlemleri Mevcut

Linux çekirdek güvenlik ekibi, 1 Nisan'da hatalı 2017 optimizasyonunu geri alan bir yamayı ana hatta dahil etti. Tamamen yamalanmış çekirdekler yayınlanırken, birçok dağıtım eski uzun vadeli destek (LTS) çekirdeklerini kullanıyor ve düzeltmenin geri aktarılması (backport) zaman alıyor. Yanıt olarak, büyük dağıtıcılar acil azaltma önlemleri yayınladı.

Ubuntu ve türevleri için, kmod paketine yapılan bir güncelleme, savunmasız algif_aead modülünün yüklenmesini engeller. Yöneticiler bu düzeltmeyi sudo apt update && sudo apt upgrade komutunu çalıştırıp sistemi yeniden başlatarak uygulayabilirler. Hemen güncelleme yapılamayan sistemler için, /etc/modprobe.d/ içindeki bir dosyaya install algif_aead /bin/false satırı eklenerek modül manuel olarak devre dışı bırakılabilir. Red Hat, bu önlemin çekirdek kriptografik özellikleri gerektiren görevlerde küçük bir performans etkisi yaratabileceğini, ancak istismarı tamamen önlediğini belirtti.

Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.