Bad Epoll Kusuru Saldırganlara Linux ve Android'de Root Erişimi Sağlıyor
Pierluigi Paganini 06 Temmuz 2026 06 Temmuz 2026
Bad Epoll (CVE-2026-46242), yerel saldırganların Linux ve Android'de kök salmasına olanak tanır. Kusur yapay zeka tarafından gözden kaçırıldı ancak bir güvenlik araştırmacısı tarafından bulundu.
Bad Epoll (CVE-2026-46242) adı verilen yeni açıklanan bir Linux çekirdeği güvenlik açığı, özel ayrıcalıkları olmayan yerel bir saldırganın, etkilenen Linux sistemleri ve Android cihazlarda tam kök erişimi elde etmesine olanak tanıyor. Güvenlik güncellemeleri halihazırda mevcuttur ve kullanıcılardan bunları mümkün olan en kısa sürede yüklemeleri istenmektedir.
Uzmanların Görüşleri
Kusur, birden fazla ağ bağlantısını ve dosya olayını verimli bir şekilde yönetmek için sunucular, tarayıcılar ve sayısız uygulama tarafından kullanılan temel bir özellik olan Linux çekirdeğinin epoll alt sistemini etkiliyor. Epoll Linux için temel olduğundan, savunmasız sistemlere yama uygulamak dışında pratik bir çözüm yoktur.
Nasıl Önlem Alınmalı?
Bad Epoll, bir programın piyasaya sürüldükten ("serbest bırakıldıktan) sonra bir bellek parçasını kullanmaya devam etmesiyle ortaya çıkan klasik bir serbest bırakma sonrası kullanım güvenlik açığıdır.
İki çekirdek iş parçacığı aynı dahili nesneyi aynı anda serbest bırakmaya çalışır. Biri belleği serbest bırakırken diğeri onu kullanmaya devam ederek çekirdek belleğini bozmak ve ayrıcalıkları root'a yükseltmek için kısa bir fırsat yaratır.
Detaylar ve Etkileri
"Epoll'ün yakın yollarından ikisi aynı anda koşuyor ve çarpışıyor. Biri bir nesneyi serbest bırakırken diğeri hâlâ onun içine yazıyor ve bu da serbest kullanım sonrası kullanım (UAF)." tavsiyelere devam ediyor. "Yarış penceresi ve istismarın onu nasıl yönlendirdiği. İstismar, iki çift halinde gruplandırılmış dört epoll nesnesi kullanıyor. Bir çift yarışı tetiklerken diğeri kurban oluyor. Buradan itibaren, istismar, 8 baytlık UAF yazımını bir dosya nesnesi üzerindeki bir UAF'ye dönüştürür ve dosyanın içeriğini tam olarak kontrol etmek için bir çapraz önbellek saldırısı kullanır. Hatayı, /proc/self/fdinfo aracılığıyla okunan isteğe bağlı bir çekirdek belleğine dönüştürür. Bu kontrolle, istismar, rastgele bir okuma elde eder /proc/self/fdinfo aracılığıyla çekirdek belleği. Son olarak kontrol akışını ele geçirir ve bir kök kabuk elde etmek için bir ROP zinciri yürütür.
Her ne kadar kusurdan yararlanmak yalnızca altı CPU talimatı genişliğinde bir zamanlama penceresine ulaşmayı gerektirse de, araştırmacı Jaeyoung Chung, test edilen sistemlerdeki girişimlerin yaklaşık %99'unda başarılı olduğu bildirilen güvenilir bir kavram kanıtı geliştirdi. Araştırmacıya göre bu istismar Chrome'un oluşturucu sanal alanından bile başlatılabiliyor, bu da onu özellikle tehlikeli hale getiriyor ve Android cihazları da etkileyebilir.
"Bad Epoll (CVE-2026-46242), Linux çekirdeğinin epoll alt sisteminde ücretsiz olarak kullanılabilen bir yarış durumudur. Bu hata, ayrıcalıksız bir işlemin yalnızca Linux masaüstü bilgisayarlarda ve sunucularda değil, aynı zamanda Android cihazlarda da kök haline gelmesine olanak tanır." Chung tarafından yayınlanan bir danışma belgesini okur.
Güvenlik açığının en ilginç yönlerinden biri, yapay zeka destekli güvenlik açığı araştırmasıyla bağlantısıdır. Bad Epoll, Anthropic'in Mythos modelinin daha önce CVE-2026-43074 olarak izlenen başka bir ayrıcalık yükseltme kusurunu tanımladığı çekirdek kodunun aynı bölümünden kaynaklanıyor. Yapay zeka ilk hatayı tespit etti ancak daha sonra manuel olarak keşfedilen bu güvenlik açığını gözden kaçırdı.
Gelecekte Ne Bekleniyor?
"2023'teki tek bir taahhüt, epoll koduna iki ayrı yarış koşulu getirdi; toplamda yalnızca yaklaşık 2.500 satır. Her ikisinin de ayrıcalık artışına yol açabilecek kritik hatalar olduğu ortaya çıktı.
Bunlardan ilki Anthropic's Mythos tarafından bulundu ve CVE-2026-43074 olarak rapor edildi. Bu sonuç başlı başına etkileyici çünkü çekirdek yarışı hatalarının bulunmasının zor olduğu biliniyor. Sınırdaki bir yapay zeka modelinin yarış hatalarını bulma yeteneğini gösterdi. Bağımsız bir araştırmacı daha sonra bunun için 1 günlük bir istismarı kernelCTF'ye sundu." tavsiyelere devam ediyor. “Diğer yarış ise Mythos'un kaçırdığı Bad Epoll.”
Sistem Güvenliği
Chung bu özlemin anlaşılabilir olduğuna inanıyor. Yarış koşulu hakkında mantık yürütmek son derece zordur çünkü savunmasız yürütme yolu saniyenin yalnızca çok küçük bir kısmı için mevcuttur. Buna ek olarak, ilk kusur yamalandıktan sonra Bad Epoll, Linux'un bellek hatası tespit sistemi KASAN aracılığıyla artık belirgin uyarılar üretmiyor ve bu da hatanın fark edilmesini daha da zorlaştırıyor.
İyi haber şu ki şu anda Bad Epoll'un vahşi doğada istismar edildiğine dair hiçbir kanıt yok. Kamuya açık olan tek istismar, Google'ın kernelCTF programı aracılığıyla yayınlanan kavram kanıtıdır. Bir Android açığının hala geliştirilme aşamasında olduğu bildiriliyor.
Bu kusur, halihazırda yukarı yönlü düzeltmeyi içermediği sürece, 6.4 ve sonraki sürümleri temel alan Linux çekirdeklerini etkiliyor. Pixel 8 gibi bazı Android cihazları da dahil olmak üzere Linux 6.1 tabanlı eski uzun vadeli destek çekirdekleri savunmasız değildir çünkü sorunlu kod, bu sürümler dallara ayrıldıktan sonra tanıtıldı.
Sonuç ve Değerlendirme
Bad Epoll, yakın zamanda açıklanan Copy Fail, Dirty Frag, Fragnesia ve DirtyClone dahil olmak üzere giderek artan yüksek profilli Linux ayrıcalık yükseltme güvenlik açıkları listesine katılıyor. Bu yeni güvenlik açıklarının çoğu deterministik ve istismar edilmesi nispeten kolay olsa da Bad Epoll, keşfedilmesi, kullanılması ve yamalanması önemli ölçüde daha zor olan eski yarış durumu hataları sınıfına aittir.
Vaka aynı zamanda yapay zekanın güvenlik açığı araştırmalarındaki vaatlerini ve mevcut sınırlamalarını da vurguluyor. Mythos gibi modeller, karmaşık çekirdek hatalarını tespit edebildiklerini ve hatta FreeBSD gibi projelerde uzun süredir devam eden güvenlik açıklarını ortaya çıkarabildiklerini zaten gösterdi.
Bad Epoll aynı zamanda son derece incelikli yarış koşullarının en gelişmiş yapay zeka sistemlerinden bile kaçabildiğini gösteriyor. Şimdilik, özellikle güvenlik açıklarının küçük zaman aralıklarına ve karmaşık eş zamanlı yürütme yollarına bağlı olduğu durumlarda insan uzmanlığı hayati önem taşıyor.
Teknik Analiz
Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon
(SecurityAffairs – hackleme, Bad Epoll)