Linux Çekirdeği Zafiyeti: Yerel Kullanıcı Kök Erişimi Nasıl Elde Eder?

Yeni bir Linux çekirdeği zafiyeti, sistem yöneticilerinin uykularını kaçıracak cinsten. ‘pedit COW’ olarak adlandırılan bu kritik güvenlik açığı, yerel ve ayrıcalıksız kullanıcıların etkilenen Linux sistemlerinde tam kök erişimi elde etmesine olanak tanıyor. Bu, siber güvenlik dünyasında deprem etkisi yaratabilecek bir gelişme değil mi?
Bu zafiyet, özellikle çok kiracılı ortamlar, CI/CD sunucuları ve Kubernetes düğümleri gibi paylaşımlı altyapılar için ciddi riskler barındırıyor. CVE-2026-46331 numarasıyla izlenen ‘pedit COW’, Linux çekirdeğinin trafik kontrol alt sistemindeki bir hatadan kaynaklanıyor. Red Hat, bu kusuru ‘önemli’ olarak derecelendirirken, halka açık bir istismar kodunun CVE atamasından sadece bir gün sonra ortaya çıkması endişeleri daha da artırdı.
Pedit COW: Bellekteki Tehlike Nasıl Ortaya Çıktı?
Linux’un trafik kontrol aracı `tc`, uçuş halindeki paket başlıklarını `pedit` adı verilen bir eylemle yeniden yazabilir. Bu işi yapan çekirdek fonksiyonu `tcf_pedit_act()`, veriyi düzenlemeden önce standart kopyala-yaz (copy-on-write) deseniyle verinin özel bir kopyasını oluşturması gerekir. Ancak burada kritik bir aksaklık yaşanıyor; yazılabilir aralığı, son ofsetler belirlenmeden önce, yalnızca bir kez kontrol ediyor.
Bazı düzenleme anahtarları, ofsetlerini ancak çalışma zamanında çözebilir. İşte tam bu noktada, yazma işlemi özel olarak kopyalanan bölgenin dışına taşarak, çekirdeğin özel bir kopya yerine paylaşımlı bir sayfa önbellek sayfasını değiştirmesine neden oluyor. Bu sayfa önbellekteki bir dosyaya aitse, o dosyanın bellekteki görüntüsü bozulur ve kötü niyetli bir kod enjekte edilebilir. Bu desen, ‘Dirty Pipe’, ‘Copy Fail’, ‘DirtyClone’ ve ‘Dirty Frag’ gibi geçmişteki benzer güvenlik açıklarını hatırlatıyor; çekirdeğin hızlı yolunun, münhasıran sahip olmadığı bir sayfaya yazması ve sayfa önbelleğin darbe alması.
Ancak ‘pedit COW’u diğerlerinden ayıran, saldırı giriş noktasıdır. Ayrıcalıksız bir kullanıcı, bir kullanıcı ad alanı (user namespace) içinden `tc` eylemlerini yapılandırabilir. Bu, saldırganın istismar için gerekli olan `CAP_NET_ADMIN` yeteneğini elde etmesini sağlar. Yani, teorik olarak kısıtlı bir kullanıcı, sistemin derinliklerine sızmak için bir kapı aralayabilir. Bu durum, sistem güvenliği mimarisindeki ince bir çatlağı ortaya koyuyor. Özellikle kritik altyapılarda bu tür bellek manipülasyonları, felaketle sonuçlanabilecek senaryoların önünü açabilir.
“Bellek tabanlı istismarlar, geleneksel disk tabanlı güvenlik denetimlerini atlatmada ustadır. ‘pedit COW’ örneğinde olduğu gibi, bir dosyanın disk üzerindeki bütünlüğü bozulmadan kök erişimi elde edilebilmesi, yeni nesil güvenlik yaklaşımlarının aciliyetini gözler önüne seriyor.”
Saldırı Zinciri: Ayrıcalıksız Kullanıcıdan Kök Erişime
‘pedit COW’ zafiyetinin tetiklenmesi ve başarılı bir şekilde istismar edilmesi için iki temel koşulun sağlanması gerekiyor. İlk olarak, `act_pedit` modülünün yüklenebilir olması şart. Bu, çekirdeğin paket düzenleme yeteneklerinin aktif olduğu anlamına geliyor. İkinci ve belki de daha kritik koşul ise, ayrıcalıksız kullanıcı ad alanlarının açık olmasıdır. Bu ad alanları, saldırgana hatayı tetiklemek için gerekli olan ad alanı yerel ağ yeteneğini (`CAP_NET_ADMIN`) sağlıyor.
Saldırı, diske kaydedilmiş dosyaya dokunmuyor, bu da onu geleneksel dosya bütünlüğü kontrollerinden gizliyor. Bunun yerine, bellekteki bir `setuid root` ikilisinin (`/bin/su` gibi) önbelleğe alınmış kopyasını zehirliyor. Saldırgan, bu zehirli kopyaya küçük bir yük (`payload`) enjekte ediyor ve ardından bu değiştirilmiş görüntüyü kök ayrıcalıklarıyla çalıştırıyor. Dosya bütünlüğü kontrolleri tertemiz görünürken, arka planda zaten bir kök kabuk (`root shell`) açık oluyor. Bu, saldırının tespit edilmesini zorlaştıran en sinsi yönlerinden biri. Test edilen RHEL ve Debian hedeflerinde, bu iki koşulun da varsayılan olarak mevcut olduğu gözlemlendi. Peki, sizin sistemleriniz bu zafiyete karşı ne kadar savunmasız?
Ülkemizdeki birçok sunucu sağlayıcısı ve kurumsal firma, maliyet etkinliği ve esnekliği nedeniyle Linux tabanlı sistemleri tercih ediyor. Bu zafiyetin yaygınlığı, Türkiye’deki birçok kurumun altyapısını potansiyel bir risk altına sokabilir. Özellikle kamu ve finans sektöründe faaliyet gösteren, hassas veri işleyen kurumların bu tür bellek tabanlı saldırılara karşı daha uyanık olması gerekiyor. Bu tür bir Linux çekirdeği zafiyeti, sadece veri ihlallerine değil, aynı zamanda operasyonel kesintilere ve itibar kaybına da yol açabilir.
Hangi Sistemler Tehdit Altında? Güncel Durum ve Yama Süreci
Zafiyetin keşfiyle birlikte, farklı Linux dağıtımları üzerindeki etkileri de detaylandırıldı. Kanıtlanmış istismar (PoC) yazarının raporlarına göre, RHEL 10 ve Debian 13 (trixie) üzerinde ayrıcalıksız kullanıcıdan kök erişimine yükseltme başarıyla gerçekleştirildi. Bu dağıtımlarda ayrıcalıksız kullanıcı ad alanları varsayılan olarak açık geliyor. Ubuntu 24.04 ise, kullanıcı ad alanlarına hala izin veren AppArmor profilleri üzerinden yönlendirme gerektirse de savunmasız durumda.
Ubuntu 26.04 ise, AppArmor profillerinin ayrıcalıksız kullanıcı ad alanlarını varsayılan olarak kısıtlaması nedeniyle bu yolu engellese de, temel çekirdek hâlâ zafiyete açık. Bu, bazı korumaların varsayılan olarak etkin olsa bile, çekirdek seviyesindeki açığın varlığını sürdürdüğü anlamına geliyor. Düzeltmeler ve yamalar dağıtıcılar arasında farklılık gösteriyor. Debian, ‘trixie’ sürümünü güvenlik kanalı üzerinden düzeltti, ancak Debian 11 ve 12 hala savunmasız olarak listeleniyor. Ubuntu, 18.04’ten 26.04’e kadar desteklenen tüm sürümleri 25 Haziran itibarıyla savunmasız olarak listeledi. Red Hat ise RHEL 8, 9 ve 10’u etkilenen sürümler arasına alırken, RHEL 7 bültende listelenmedi. Sistem yöneticileri için bu karmaşık durum, yama yönetimini daha da zorlaştırıyor.
Peki Linux Çekirdeği Zafiyeti ile Ne Yapmalısınız?
Bu kritik Linux çekirdeği zafiyeti karşısında atılacak en önemli adım, yamalanmış çekirdeği kurmak ve sistemlerinizi yeniden başlatmaktır. Özellikle ‘yerel kullanıcı’ kavramının ‘güvenilir kullanıcı’ anlamına gelmediği sistemlere öncelik vermelisiniz. Bunlar arasında çok kiracılı barındırma sistemleri, CI/CD koşucuları, Kubernetes düğümleri, derleme çalışanları ve paylaşımlı araştırma veya laboratuvar makineleri bulunuyor. Bu tür ortamlar, potansiyel bir saldırganın yerel erişime sahip olma olasılığının yüksek olduğu senaryoları temsil eder.
Eğer sistemlerinizi hemen yamalama imkanınız yoksa, saldırı zincirini kırmak için iki etkili hafifletme önlemi mevcut. İlk olarak, sistemlerinizin `tc pedit` kurallarına ihtiyacı yoksa, `act_pedit` modülünün kullanımda olup olmadığını kontrol edin (`lsmod | grep act_pedit` komutuyla). Eğer kullanımda değilse, bu modülün yüklenmesini engelleyebilirsiniz. Bunun için `echo ‘install act_pedit /bin/true’ | sudo tee /etc/modprobe.d/disable-act_pedit.conf` komutunu kullanarak, modülün yüklenmesini engelleyen bir yapılandırma dosyası oluşturun.
İkinci hafifletme ise, ayrıcalıksız kullanıcı ad alanlarını devre dışı bırakmaktır. Bu, potansiyel saldırganların istismarı tetiklemek için ihtiyaç duydukları `CAP_NET_ADMIN` yeteneğini elde etmelerini engelleyecektir. Ancak bu tür bir değişiklik, sisteminizdeki bazı uygulamaların veya kapsayıcıların işleyişini etkileyebilir, bu yüzden dikkatli bir değerlendirme ve test süreci gerektirir. Unutmayın, hiçbir güvenlik önlemi tek başına yeterli değildir; katmanlı bir savunma stratejisi her zaman en etkili yaklaşımdır.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları