Nebula Security araştırmacıları, 15 yıldır Linux çekirdeğinde gizlenen kritik bir güvenlik açığının teknik detaylarını ve istismar kodunu yayınladı. GhostLock olarak adlandırılan ve CVE-2026-43499 koduyla izlenen bu açık, Linux 2.6.39 sürümüyle birlikte 2011 yılında çekirdeğe eklenmiş ve Nisan 2024'te yayınlanan bir yama ile kapatılana kadar tüm büyük Linux dağıtımlarını etkilemişti. Açığın keşfi, Google'ın kernelCTF programı kapsamında 92.337 dolar ödül kazandırdı.
GhostLock, bir use-after-free (kullanım-sonrası-serbest) zafiyeti olarak sınıflandırılıyor. Bu açık, Linux çekirdeğinde acil görevlerin önceliklendirilmesi için kullanılan bir yardımcı fonksiyonda (helper function) ortaya çıktı. Normalde, bu temizleme fonksiyonu mevcut görevi (current task) temizler. Ancak güvenlik açığı nedeniyle, bir deadlock (kilitlenme) durumuyla karşılaşıldığında ve geri alma (rollback) işlemi yapıldığında, fonksiyon hafızayı temizliyor ve başka bir görevde bu hafızaya işaretçi (pointer) varken hafızayı yeniden kullanıyor.
Sorun, fonksiyonun temizlenmesi gereken görevin her zaman mevcut görev olduğunu varsaymasından kaynaklanıyor. Ancak bir yeniden sıralama (requeue) istendiğinde, fonksiyon mevcut görev yerine uyuyan bir thread (iş parçacığı) adına temizlik yapıyor. Bu durum, yanlışlıkla serbest bırakılan hafızanın kontrol edilmesine ve yerel ayrıcalık yükseltme (local privilege escalation) yoluyla root yetkisi elde edilmesine olanak tanıyor. Nebula Security, bu zafiyeti kullanarak root yetkisi alabildiklerini ve Google'ın kernelCTF programında konteyner kaçışı (container escape) gerçekleştirebildiklerini kanıtladı.
Nasıl Önlem Alınmalı?
GhostLock'un keşfi, Linux çekirdeğinde son aylarda kamuoyuna açıklanan bir dizi güvenlik açığının son halkası oldu. Bu listede Januscape, Bad Epoll, DirtyClone, CIFSwitch, DirtyDecrypt (aka DirtyCBC), Fragnesia ve Dirty Frag gibi önemli zafiyetler yer alıyor. Bu açıkların her biri, çekirdek güvenliğinin ne kadar kritik olduğunu ve uzun süre gizlenebilen kusurların ciddi sonuçlar doğurabileceğini gösteriyor.
GhostLock'un etkilediği sistemler, Linux 2.6.39'dan 6.8.9'a kadar olan tüm çekirdek sürümlerini kapsıyor. Nisan 2024'te yayınlanan güvenlik yaması, bu zafiyeti ortadan kaldırmış olsa da, henüz güncellenmemiş sistemler hala risk altında. Sistem yöneticilerinin ve kullanıcıların, Linux dağıtımlarını en son güvenlik yamalarıyla güncellemeleri kritik önem taşıyor. Özellikle sunucu ve bulut ortamlarında kullanılan Linux sistemlerinin bu açığa karşı savunmasız olduğu unutulmamalı.
Bu güvenlik açığı, uzun süre fark edilmeyen çekirdek kusurlarının ne kadar tehlikeli olabileceğini bir kez daha gözler önüne seriyor. Nebula Security'nin çalışması, hem açığın keşfi hem de Google'ın ödül programı sayesinde, bu tür zafiyetlerin kapatılmasının önemini vurguluyor. Kullanıcılar için en önemli çıkarım, sistemlerini düzenli olarak güncellemek ve güvenlik yamalarını takip etmektir. GhostLock gibi açıklar, doğru yönetilmediğinde tam sistem kontrolünün ele geçirilmesine yol açabilir.
Kaynak: securityweek.com