Linux çekirdeğinde keşfedilen yeni bir güvenlik açığı, tüm büyük Linux dağıtımlarını tehdit ediyor. 'Dirty Frag' adı verilen bu zafiyet, yerel ayrıcalık yükseltmesine (LPE) izin vererek saldırganların root yetkisi kazanmasını sağlıyor. Bağımsız güvenlik araştırmacısı Hyunwoo Kim tarafından Nisan 2026 sonunda tespit edilen açık, açıklama ambargosunun erkenden kırılmasıyla gündeme bomba gibi düştü. Şu an için tüm büyük dağıtımlar acil yama çalışmalarını sürdürüyor.
Dirty Frag, aslında birbirine zincirlenmiş iki ayrı güvenlik açığından oluşuyor. Bunlardan ilki, CVE-2026-43284 koduyla izlenen ve Linux çekirdeğinin xfrm-ESP (IPsec) alt sisteminde bulunan bir 'write-what-where' zafiyeti. 2017'den beri istismar edilebilir durumda olan bu açık, 8.8 CVSS puanıyla yüksek önem derecesine sahip. İkinci açık ise CVE-2026-43500 olarak kayıtlı ve RxRPC alt sisteminde 2023'ten beri mevcut olan bir sınır dışı yazma (out-of-bounds write) hatası; CVSS puanı 7.8.
Bu iki açığın birleşimi, daha önce keşfedilen ve 'Copy Fail' olarak bilinen CVE-2026-31431 zafiyetine benzer bir etki yaratıyor. Copy Fail'i keşfeden Theori firması araştırmacısı Taeyang Lee'nin çalışmalarından ilham alan Kim, benzer güvenlik açıklarını aramaya yönelmiş. Kim, 30 Nisan'da Linux çekirdek güvenlik ekibiyle iletişime geçtiğini, ancak 8 Mayıs'ta ambargonun yamalar hazır olmadan kırıldığını duyurdu. Bu durum, dağıtım bakımcılarının talebi üzerine Dirty Frag belgesinin kamuya açıklanmasına yol açtı.
Microsoft Defender Güvenlik Araştırma Ekibi, 8 Mayıs'ta yayımladığı blog yazısında, 'su' komutuyla ayrıcalık yükseltme içeren sınırlı sayıda gerçek dünya saldırısı tespit ettiklerini bildirdi. Bu aktivitelerin Dirty Frag veya Copy Fail ile ilişkili olabileceği düşünülüyor. Araştırmacılar, açığın SSH hesaplarını ele geçirme, web kabuk erişimi, konteyner kaçışları ve düşük yetkili servis hesaplarını istismar etme gibi çeşitli saldırı vektörlerinde kullanılabileceğini belirtiyor.
Linux dağıtım bakımcıları, her iki güvenlik açığı için de yamaları kademeli olarak yayınlamaya başladı. Ancak yama henüz ulaşmadıysa, geçici bir çözüm olarak araştırmacı Kim, savunmasız çekirdek modüllerini devre dışı bırakmayı öneriyor. Bunun için 'sh -c "printf \'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n\' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"' komutunun çalıştırılması gerekiyor. Ayrıca Google Cloud bünyesindeki Wiz, detaylı bir hafifletme adımları listesi paylaştı.
Bu kritik güvenlik açığı, Linux sistem yöneticileri için acil eylem gerektiriyor. Öncelikle sistemlerinizi güncelleyin ve resmi yamaları takip edin. Geçici çözüm yöntemlerini uygularken, ağ trafiğinizi izleyin ve şüpheli aktiviteler için logları kontrol edin. Ayrıca, konteyner ortamlarında çalışıyorsanız, güvenlik duvarı kurallarınızı sıkılaştırın ve gereksiz servisleri devre dışı bırakın. Dirty Frag, Linux çekirdeğindeki karmaşık zafiyetlerin bir kez daha ne kadar tehlikeli olabileceğini gösteriyor.
Kaynak: infosecurity-magazine.com