Linux Kernel’de 8 Yıldır Saklanan ‘Copy Fail’ Açığı Root Erişimi Veriyor
Siber güvenlik dünyası, Linux işletim sisteminin kalbinde neredeyse on yıldır fark edilmeden duran bir Linux kernel güvenlik açığı ile sarsılıyor. Xint.io ve Theori ekiplerinin gün yüzüne çıkardığı, CVE-2026-31431 koduyla izlenen ve “Copy Fail” adı verilen bu zafiyet, sistemdeki en düşük yetkili bir kullanıcıyı dakikalar içinde tam yetkili yönetici konumuna taşıyabiliyor. Açığın 2017 yılında yapılan bir hata optimizasyonundan kaynaklandığı ve Ubuntu, Debian, Red Hat, SUSE gibi devlerin de aralarında bulunduğu neredeyse tüm Linux dağıtımlarını etkilediği doğrulandı. 7.8 CVSS puanı ile yüksek riskli kategoride yer alan açık, yapısı gereği sadece yerel değil, konteyner ortamlarında da ciddi tehditler barındırıyor.
Hatanın Temeli: Kripto Alt Sisteminde Bir Mantık Arızası
Sorunun kaynağı, Linux çekirdeğinin derinliklerinde, özellikle algif_aead modülünde yatan ince bir mantık hatası. 2017’de gerçekleştirilen bir iyileştirme çalışması, sayfa önbelleğinde yer alan kritik verilerin, kriptografik işlemler sırasında yazılabilir bir dağılım listesine kontrolsüzce dahil olmasına yol açtı. Bir saldırgan, AF_ALG soketi ve splice() sistem çağrısını akıllıca birleştirerek, yalnızca okuma iznine sahip olduğu hassas bir dosyanın (örneğin /usr/bin/su gibi bir setuid ikili dosyası) önbelleğe alınmış kopyasına kontrollü 4 baytlık bir veri yazabiliyor. Bu, diske hiç dokunulmadığı için bütünlük denetim araçlarına yakalanmayan, son derece sinsi bir manipülasyon anlamına geliyor.
Neden Bu Kadar Tehlikeli? Dört Kritik Özellik
Copy Fail’i benzerlerinden ayıran ve onu bir sistem yöneticisinin kabusuna dönüştüren dört önemli özelliği var. İlk olarak, saldırı son derece taşınabilir; aynı kısa Python betiği, mimari veya dağıtım fark etmeksizin hemen hemen tüm sistemlerde çalışıyor. İkincisi, inanılmaz derecede küçük; tüm istismar kodu yalnızca 732 bayt uzunluğunda. Üçüncü ve belki de en tehlikelisi, saldırı gizli bir şekilde işliyor. Sayfa önbelleğine yapılan yazım, geleneksel dosya yazma yolunu atladığı ve disk üzerindeki orijinal dosyayı değiştirmediği için, sistem yeniden başlatıldığında tüm izler kayboluyor ve standart güvenlik taramaları hiçbir anormallik görmüyor. Son olarak, sayfa önbelleğinin ana bilgisayar üzerindeki tüm süreçler ve konteynerlar arasında paylaşılıyor olması, bu açığı yalnızca bir yetki yükseltme değil, aynı zamanda güçlü bir konteyner kaçış ve düğüm ele geçirme aracına dönüştürüyor.
Dirty Pipe ile Aynı Sınıfta, Ama Çok Daha Güvenilir
Uzmanlar, Copy Fail ile 2022’de büyük ses getiren Dirty Pipe (CVE-2022-0847) açığı arasında güçlü bir akrabalık bağı olduğunu vurguluyor. Her ikisi de düşük yetkili bir kullanıcının sayfa önbelleğine müdahale etmesine dayanan aynı saldırı sınıfına ait. Ancak Copy Fail’in rakiplerine göre çarpıcı bir üstünlüğü var. Dirty Cow gibi eski açıklar, başarılı olmak için genellikle karmaşık yarış koşulları, tekrar denemeler ve hatta sistem çökmelerini göze almayı gerektirirken, Copy Fail düz çizgisel bir mantık hatasından besleniyor. Saldırı, herhangi bir zamanlama oyununa veya çekirdek ofset bilgisine ihtiyaç duymadan, yüzde yüze yakın bir güvenilirlikle ve milisaniyeler içinde çalışıyor. Bu öngörülebilirlik, onu hem penetrasyon test uzmanları hem de kötü niyetli saldırganlar için son derece değerli kılıyor.
Devlerden Peş Peşe Uyarılar Geldi
Açığın 29 Nisan 2026’da kamuoyuna duyurulmasının hemen ardından başta Amazon Linux, Red Hat, Ubuntu, Debian ve SUSE olmak üzere tüm büyük Linux dağıtımları kendi güvenlik bültenlerini yayınladı. Avrupa Birliği Siber Güvenlik Ajansı (CERT-EU) da sert bir uyarıyla, özellikle Kubernetes düğümleri ve CI/CD iş akışları gibi güvenilmeyen iş yüklerinin koştuğu ortamların acilen önlem alması gerektiğini duyurdu. Şu an için kalıcı yamalar dağıtımlara entegre edilme aşamasında ve sistem yöneticilerine, resmi güncellemeler yayınlanana kadar algif_aead çekirdek modülünü devre dışı bırakmaları şiddetle tavsiye ediliyor. Bu geçici çözüm, dm-crypt, LUKS ve SSH gibi hayati servisleri etkilemeden saldırı yüzeyini büyük ölçüde daraltıyor.
AI Destekli Keşif, Yeni Bir Dönemin Habercisi
Bu açığın keşif hikayesi de en az kendisi kadar ilgi çekici. Theori araştırmacısı Taeyang Lee’nin Linux kripto alt sisteminin sayfa önbelleğiyle etkileşimi üzerine yaptığı manuel bir çalışma, Theori’nin kendi geliştirdiği Xint Code isimli yapay zeka aracına yön verdi. Sadece bir saatlik bir tarama ve tek bir operatör komutu sonrasında, bu kritik hata gün yüzüne çıktı. Bu olay, yapay zeka destekli güvenlik araştırmalarının sıfır-gün avcılığında nasıl bir çığır açtığının ve artık milyon dolarlık istismar araçlarıyla eşdeğer hataların bile çok kısa sürelerde bulunabileceğinin en somut kanıtlarından biri olarak kayıtlara geçti. hedefbilgitoplumu.com
