Linux İşletim Sisteminde Root Yetkisine Yol Açabilen Kritik “Dirty Flag” Güvenlik Açığının Kapatılması
Posted inLinux

Linux İşletim Sisteminde Root Yetkisine Yol Açabilen Kritik “Dirty Flag” Güvenlik Açığının Kapatılması

Linux dünyası son dönemde çekirdek seviyesinde ortaya çıkan yerel ayrıcalık yükseltme açıklarıyla yeniden gündemde.

Copy Fail güvenlik açığının ardından bu kez “Dirty Frag” adı verilen yeni bir açık sistem yöneticileri ve güvenlik ekipleri için ciddi bir alarm konusu haline geldi.

Dirty Frag sıradan bir kullanıcı hesabı üzerinden root ayrıcalıklarına yükselmeye imkân tanıyabilen kritik bir Linux kernel güvenlik açığı zinciri olarak değerlendiriliyor. Açığın özellikle sunucu, bulut, sanallaştırma ve konteyner altyapılarında risk oluşturması, konuyu daha da önemli hale getiriyor.

Güvenlik araştırmalarına göre Dirty Frag CVE-2026-43284 ve CVE-2026-43500 kimlikleriyle takip edilen iki ayrı zafiyetin birlikte kullanılmasına dayanıyor.

İlk zafiyet IPsec tarafındaki ESP bileşenlerini ikinci zafiyet ise AFS tarafından kullanılan RxRPC protokolünü etkiliyor. Canonical da Dirty Frag’in 7 Mayıs 2026’da kamuya açıklandığını ve ESP/IPsec ile RxRPC modüllerini etkilediğini belirtiyor.

Dirty Frag Nedir?

Dirty Frag Linux çekirdeğinde ağ ve bellek parçacığı yönetimiyle ilgili davranışların kötüye kullanılmasına dayanıyor. Açığın merkezinde paylaşılan socket buffer fragment yani skb frag yapıları üzerinde güvenli olmayan şekilde işlem yapılması bulunuyor.

Normal şartlarda kernel ağ paketlerini işlerken bellekteki veri parçalarını dikkatli biçimde yönetmelidir.

Ancak Dirty Frag senaryosunda özellikle MSG_SPLICE_PAGES, splice(2) veya sendfile(2) gibi mekanizmalarla pipe üzerinden skb’ye eklenen sayfalar bazı durumlarda kernel tarafından özel olarak kopyalanmadan işlenebiliyor. Bu da saldırganın hâlâ referans tuttuğu bellek alanlarının kernel tarafından değiştirilmesine veya çözümlenmiş veriyle temas etmesine neden olabiliyor.

AlmaLinux’un teknik açıklamasında da sorunun esp4, esp6 ve rxrpc içindeki “in-place decryption” yollarında ortaya çıktığı belirtiliyor.

Basitçe ifade etmek gerekirse Dirty Frag Linux çekirdeğinin bazı ağ modüllerinde paylaşılan bellek parçalarını yeterince izole etmeden işlemesi sonucunda ortaya çıkıyor. Bu hata, yerel erişime sahip düşük yetkili bir kullanıcının sistem üzerinde root seviyesine yükselmesine zemin hazırlayabiliyor.

Neden Bu Kadar Tehlikeli?

Dirty Frag’i tehlikeli yapan nokta uzaktan tek başına çalışan klasik bir saldırıdan çok sistem ele geçirildikten sonraki aşamada saldırganın yetkisini büyütmesine imkân vermesidir.

Yani saldırgan sisteme düşük yetkili bir kullanıcı zayıf bir servis hesabı, web shell, ele geçirilmiş SSH hesabı veya konteyner içi erişimle girdiyse, bu açığı kullanarak root seviyesine çıkabilir.

Microsoft’un analizine göre Dirty Frag SSH erişimi, web shell, düşük yetkili servis hesabı veya konteyner kaçışı gibi senaryolardan sonra kullanılabilecek bir yerel ayrıcalık yükseltme zafiyetidir.

Başarılı sömürü sonucunda saldırgan güvenlik araçlarını devre dışı bırakabilir hassas kimlik bilgilerine erişebilir, logları manipüle edebilir ve sistemde kalıcılık sağlayabilir.

Bu nedenle Dirty Frag yalnızca masaüstü Linux kullanıcıları için değil özellikle çok kullanıcılı sunucular, CI/CD runner’ları, container host’ları, Kubernetes/OpenShift ortamları, paylaşımlı hosting sistemleri ve bulut altyapıları için kritik önemdedir.

Hangi Sistemler Etkileniyor?

Dirty Frag’in etkisi oldukça geniştir. Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, Fedora, openSUSE ve OpenShift gibi yaygın Linux ortamlarının etkilenebileceği bildirilmektedir.

Microsoft etkilenen ortamlar arasında Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE ve OpenShift dağıtımlarını özellikle saymaktadır.

Ubuntu tarafında ise tüm Ubuntu sürümlerinin etkilendiği belirtilmiştir. Canonical; Trusty, Xenial, Bionic, Focal, Jammy, Noble, Questing ve Resolute sürümlerini etkilenen sürümler listesinde göstermektedir.

Konteyner tarafında risk daha hassastır. Çünkü konteyner içinde çalışan düşük yetkili bir süreç uygun koşullar oluştuğunda host sistem üzerinde daha yüksek yetki elde etmeye çalışabilir.

Canonical container workload çalıştıran ortamlarda zafiyetin yerel ayrıcalık yükseltmeye ek olarak konteyner kaçışı senaryolarını da kolaylaştırabileceğini belirtmektedir.

CVE-2026-43284 ve CVE-2026-43500 Ne Anlama Geliyor?

Dirty Frag iki ana parçadan oluşuyor:

  • CVE-2026-43284, IPsec ESP tarafındaki esp4 ve esp6 modülleriyle ilişkilidir. Bu zafiyet, paylaşılan skb frag’leri üzerinde güvenli olmayan yerinde şifre çözme davranışıyla bağlantılıdır. NVD kaydında da xfrm: esp: avoid in-place decrypt on shared skb frags açıklamasıyla takip edilmektedir.
  • CVE-2026-43500 ise RxRPC tarafını ilgilendirir. RxRPC, özellikle AFS gibi dağıtık dosya sistemi senaryolarında kullanılan bir protokoldür. Canonical, bu ikinci zafiyetin RxRPC desteği sağlayan modülleri etkilediğini belirtmektedir.

Bu iki zafiyet birlikte kullanıldığında düşük yetkili bir yerel kullanıcı sistem üzerinde root ayrıcalıklarına ulaşabilir. Tenable’ın değerlendirmesine göre Dirty Frag, iki farklı zafiyetin zincirlenmesiyle çalışan yüksek etkili bir yerel ayrıcalık yükseltme açığıdır.

Copy Fail ile Benzerliği

Dirty Frag’in dikkat çekmesinin bir diğer sebebi, kısa süre önce gündeme gelen Copy Fail zafiyetiyle aynı problem ailesine yakın olmasıdır. Her iki açık da Linux kernel’in bellek ve page cache davranışlarıyla ilişkili güvenlik hatalarına dayanır.

Tenable, Dirty Frag’in Copy Fail’den esinlenen ve benzer sınıftaki bir açık olduğunu, hatta Copy Fail için uygulanan bazı geçici önlemlere rağmen Dirty Frag’in hâlâ sömürülebileceğini belirtmektedir.

Bu durum, Linux sistemlerde sadece belirli bir açığa özel geçici engellemelerin yeterli olmayabileceğini gösteriyor. Kernel seviyesindeki bu tip zafiyetlerde kalıcı çözüm, genellikle dağıtım tarafından sağlanan güvenli kernel paketlerine geçmek ve sistemi yeniden başlatmaktır.

Yama Durumu ve Güncelleme Önerisi

Dirty Frag için yama durumu dağıtıma ve kernel kanalına göre değişebilir. Bazı kaynaklarda belirli kernel serileri için düzeltmelerin yayımlandığı, bazı kaynaklarda ise özellikle RxRPC tarafı için ek yamaların gerektiği belirtilmektedir. Microsoft, 8 Mayıs 2026 itibarıyla CVE-2026-43284 için Linux Kernel Organization tarafından yamalar yayımlandığını; ancak CVE-2026-43500 tarafında yama sürecinin hâlâ gelişmekte olduğunu belirtmiştir.

LWN de Linux 7.0.5, 6.18.28, 6.12.87 ve 6.6.138 stable kernel sürümlerinde Dirty Frag ve Copy Fail 2 için kısmi düzeltmeler bulunduğunu, ancak ikinci bir patch ihtiyacının da gündemde olduğunu aktarmaktadır.

Bu nedenle yapılması gereken en doğru işlem, kullanılan dağıtımın resmî güvenlik duyurularını kontrol etmek ve paket yöneticisi üzerinden en güncel kernel sürümüne geçmektir. Özellikle Ubuntu, RHEL, AlmaLinux, openSUSE, Fedora ve bulut sağlayıcılarının kendi güvenlik bültenleri takip edilmelidir.

Geçici Önlem: Modülleri Devre Dışı Bırakmak

Kernel güncellemesini hemen uygulayamayan sistemlerde geçici önlem olarak esp4, esp6 ve rxrpc modüllerinin yüklenmesini engellemek önerilmektedir.

Ancak bu işlem IPsec VPN, StrongSwan gibi IPsec kullanan çözümler veya AFS/RxRPC kullanan sistemlerde iş kesintisine yol açabilir.

Canonical, bu modüllerin devre dışı bırakılmasının IPsec ve AFS/RxRPC kullanan yapılarda fonksiyonel etki oluşturacağını özellikle vurgulamaktadır.

Geçici önlem olarak aşağıdaki komutlar kullanılabilir:

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf

sudo update-initramfs -u -k all

Modüller zaten yüklüyse kaldırmak için:

sudo rmmod esp4 esp6 rxrpc 2>/dev/null

Kontrol etmek için:

grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Riskli modüller yüklü" || echo "Riskli modüller yüklü değil"

Eğer modüller kullanımda olduğu için kaldırılamıyorsa yapılandırmanın etkili olması için sistemin yeniden başlatılması gerekebilir.

Ubuntu’nun önerdiği mitigasyon adımları da modüllerin kalıcı olarak engellenmesi, initramfs güncellemesi, modüllerin kaldırılması ve gerekirse reboot edilmesi üzerine kuruludur.

Sistem Yöneticileri İçin Kontrol Listesi

Dirty Frag’e karşı yalnızca kernel güncellemesi yapmak yeterli bir operasyonel refleks olmayabilir.

Özellikle production sistemlerinde aşağıdaki kontrollerin yapılması önerilir;

  1. Kullanılan kernel sürümü ve dağıtım güvenlik duyuruları kontrol edilmeli.
  2. Resmî depolardaki en güncel kernel paketleri kurulmalı.
  3. Güncelleme sonrası sistem yeniden başlatılmalı.
  4. esp4, esp6 ve rxrpc modüllerinin gerçekten gerekli olup olmadığı değerlendirilmeli.
  5. Gereksiz yerel kullanıcı erişimleri kısıtlanmalı.
  6. SSH erişimleri, servis hesapları ve sudo yetkileri gözden geçirilmeli.
  7. Konteyner host’larında untrusted workload çalıştırılıyorsa ek izolasyon önlemleri alınmalı.
  8. su, sudo, SUID/SGID binary çalıştırmaları ve anormal yetki yükseltme aktiviteleri izlenmeli.
  9. Şüpheli sistemlerde kritik dosyaların bütünlüğü kontrol edilmeli.
  10. Güncelleme sonrası eski kernel ile boot edilmediğinden emin olunmalı.

Microsoft da Dirty Frag için gereksiz yerel shell erişimlerinin kısıtlanmasını, konteyner iş yüklerinin sıkılaştırılmasını, şüpheli ayrıcalık yükseltme aktivitelerinin izlenmesini ve vendor patch’lerinin öncelikli uygulanmasını önermektedir.

Tags:

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *