Güvenlik dünyası bugün, Theori tarafından ifşa edilen ve siber güvenlik tarihine geçecek bir zafiyetle sarsıldı: CVE-2026-31431 (Kod adı: Kopya Hatası / Copy Error). İşin en çarpıcı yanı ise, 2017 yılından beri her Linux dağıtımının kalbinde (Kernel) sessizce yatan bu açığın bir güvenlik araştırmacısı değil, bir Yapay Zeka tarafından bulunmuş olması.

Görsel Kaynağı: X / @IntCyberDigest
Çoğu Linux ayrıcalık yükseltme (Privilege Escalation) zafiyeti nazlıdır; kusursuz bir zamanlamaya (Race Condition) veya özel bellek adreslerine ihtiyaç duyar. Ancak "Kopya Hatası" bunlara hiç ihtiyaç duymuyor. Her seferinde, ilk denemede çalışan ve sadece 732 baytlık basit bir Python koduna sığan düz bir mantık hatası!
Nasıl Çalışır? "Sayfa Önbelleği" (Page Cache) Zehirlenmesi
Sorunun kökeni, 2017 yılında çekirdeğin şifreleme modülü olan algif_aead içinde hızı artırmak için yapılan masum bir "yerinde optimizasyon" koduna dayanıyor. Bu kod, kritik bir güvenlik varsayımını bozarak saldırganlara şu kapıyı aralıyor:
- Sızma: Saldırgan (veya zararlı bir yazılım) sistemde sadece standart, yetkisiz bir kullanıcı hesabına ihtiyaç duyar.
- Manipülasyon: Hedefteki betik, Linux çekirdeğine bir şifreleme işlemi gönderir. Ancak bağlantı şeklini manipüle ederek, Linux'un RAM'deki dosyaların yüksek hızlı bir kopyası olan "Sayfa Önbelleğine" (Page Cache) müdahale eder.
- Enjeksiyon: Saldırgan bu önbelleğe sadece 4 baytlık bir veri yazar. Bu veri, sistemin en çok güvendiği programlardan birine, örneğin
su(root olma komutu) dosyasına yönlendirilir. - Ele Geçirme (Root): O andan itibaren, o programı çalıştıran herkes (veya sistemin kendisi), saldırganı tam yetkili "Root" olarak içeri alır.
Sayfa önbelleği ana makine (Host) genelinde paylaşıldığı için Konteyner (Container) izolasyonları da işe yaramıyor. Bir Docker konteynerindeki zararlı bir işlem, bu hatayı kullanarak doğrudan altta yatan sunucuyu ve diğer kiracıları ele geçirebiliyor. (Kubernetes kümeleri ve CI/CD çalıştırıcıları şu an büyük risk altında!)
Kişisel Not / Analiz: Adli Bilişimin (Forensics) Çaresiz Kaldığı An
Bir adli bilişim mühendisi adayı olarak bu vakada beni en çok dehşete düşüren şey, bozulmanın asla diskteki fiziksel dosyaya dokunmamasıdır.
Zararlı kod sadece Linux'un o dosyanın bellekteki (RAM) kopyasında var olur. Geleneksel olay müdahalesinde (Incident Response) sunucunun fişini çekip diskin imajını aldığınızda, diskteki su dosyasının Hash (özet) değeri, orijinal Linux paketiyle birebir aynı çıkacaktır. Hiçbir anormallik bulamazsınız! Sunucu yeniden başlatıldığında veya RAM dolup önbellek temizlendiğinde, dosya diskten taze ve temiz haliyle yeniden yüklenir. Kısacası saldırgan, arkasında fiziksel hiçbir kanıt bırakmadan bir hayalet gibi kaybolur. Bu durum, olay anında RAM (Volatile Memory) imajı almanın ne kadar hayati olduğunu bir kez daha kanıtlıyor.
Yapay zekanın savunmada (ve saldırıda) geldiği bu nokta, AltaySec olarak geliştireceğimiz AI Security ürünlerinin ve tespit sistemlerinin ne kadar kritik bir ihtiyacı karşılayacağını da net bir şekilde gösteriyor.
Çözüm ve Mitigasyon (Blue Team Aksiyonu)
Linux çekirdek güvenlik ekibi yamayı (Commit: a664bf3d603d) yayınladı. Ancak sisteminizi hemen güncelleyemiyorsanız, Blue Team ekiplerinin acilen şu adımları uygulaması gerekiyor:
Savunmasız algif_aead modülünü derhal kapatın:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true
Özellikle konteyner veya CI/CD çalıştıran ortamlar için, çekirdeğin AF_ALG kripto arayüzüne erişimini tamamen engellemek bu tarz saldırılara kapıyı tamamen kapatacaktır.
