Merhaba arkadaşlar, bu yazıda geçen hafta kamuoyuna açıklanan ve 2017’den bu yana tüm büyük Linux dağıtımlarını etkileyen kritik bir kernel açığını konuşacağız: Copy Fail (CVE-2026-31431).
Eğer bir Linux sistemi yönetiyorsanız ya da siber güvenlikle ilgileniyorsanız, bu yazıyı okuduktan sonra yapacağınız ilk şey kernel güncellemesi olmalı.
Ne Oldu?
29 Nisan 2026’da ofansif güvenlik şirketi Theori, Linux kernel’ında CVE-2026-31431 numarasıyla takip edilen ve “Copy Fail” olarak adlandırılan kritik bir zero-day açığını kamuoyuna duyurdu.
Açığın özeti şu: Sistemde normal bir kullanıcı hesabına sahip olan herhangi biri, 732 byte’lık tek bir Python scriptiyle tam root erişimi elde edebiliyor. Script harici hiçbir kütüphane kullanmıyor, derleme gerektirmiyor ve her seferinde %100 başarıyla çalışıyor.
En ürkütücü kısım: Bu açık 2017’den bu yana kernel’ın içinde sessizce bekliyordu. Kimse 9 yıl boyunca fark etmedi.
Teknik Olarak Ne Oluyor?
Açık, Linux kernel’ının kriptografik alt sistemindeki algif_aead modülünde bulunuyor. 2017’de kernel 4.14 ile gelen bir “in-place optimizasyon” yanlışlıkla kritik bir güvenlik varsayımını kırdı.
Saldırı Adımları
- Kernel’dan
AF_ALGsoketi üzerinden şifreleme işlemi yapması isteniyor splice()sistem çağrısıyla bu işlemin bağlantısı kötüye kullanılıyor- Sonuç olarak bellekteki page cache‘e 4 byte yazılıyor
- Bu 4 byte,
/usr/bin/sugibi setuid binary’ye yönlendiriliyor - Bir dahaki çalıştırmada saldırgan anında root shell alıyor
Neden Bu Kadar Gizli?
Açığın en korkutucu özelliği gizliliği. Dosya diskte hiç değişmiyor — sadece RAM’deki page cache bozuluyor. Sistemi imgelesen, hash kontrol etsen, her şey normal görünüyor. Standart dosya bütünlüğü araçları bu saldırıyı tespit edemiyor.
Dirty Cow ve Dirty Pipe ile Karşılaştırma
| Özellik | Dirty Cow | Dirty Pipe | Copy Fail |
|---|---|---|---|
| CVE | CVE-2016-5195 | CVE-2022-0847 | CVE-2026-31431 |
| Yöntem | Race condition | Race condition | Straight-line logic |
| Güvenilirlik | Düşük | Orta | %100 deterministik |
| Kernel gereksinimi | Geniş | ≥ 5.8 | 4.14 → 2026 (tümü) |
| Offset gereksinimi | Evet | Bazı durumlarda | Hayır |
| Container escape | Hayır | Sınırlı | Evet (Kubernetes) |
Hangi Sistemler Etkileniyor?
Test edilen dağıtımlar: Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16. Etkilenen kernel aralığı: 4.14 → 6.18.21.
Özellikle şu ortamlar en yüksek riskli:
- Shared Linux sunucular — dev box, jump host, build server
- Kubernetes cluster’lar — tek pod tüm node’u ele geçirebiliyor
- CI/CD runner’lar — GitHub Actions, GitLab, Jenkins
- AI agent sandbox’ları — shell çalıştıran her ortam
Nasıl Bulundu?
Bu kısım gerçekten ilginç. Theori’nin AI destekli pentest platformu Xint Code, Linux’un crypto/ alt sistemini yaklaşık 1 saatlik tarama süresinde, tek bir operator prompt’uyla bu açığı ortaya çıkardı.
9 yıl boyunca hiçbir insan güvenlik araştırmacısının bulamadığı bir açığı bir AI sistemi bir saatte buldu. AI destekli güvenlik araştırmasının nereye gittiğini göstermesi açısından son derece önemli bir vaka.
Zaman Çizelgesi
- 📅 23 Mart 2026 — Linux kernel güvenlik ekibine raporlandı
- 📅 1 Nisan 2026 — Patch mainline’a commit edildi (a664bf3d603d)
- 📅 22 Nisan 2026 — CVE-2026-31431 numarası atandı
- 📅 29 Nisan 2026 — Teknik detaylar ve PoC exploit kamuoyuna açıklandı
Bu süreç coordinated disclosure (koordineli açıklama) örneği — Theori önce kernel ekibine bildirdi, patch hazır olduktan sonra detayları yayınladı.
Sisteminizi Nasıl Korursunuz?
✅ Yöntem 1 — Kernel Güncelleme (Kalıcı Çözüm)
Hedef kernel versiyonları: 6.18.22, 6.19.12, 7.0+
# Ubuntu / Debian
sudo apt update && sudo apt upgrade -y
sudo reboot
# RHEL / CentOS / Amazon Linux
sudo dnf update kernel -y
sudo reboot
# SUSE
sudo zypper update kernel-default
sudo reboot
# Reboot sonrası doğrulama
uname -r⏳ Yöntem 2 — Geçici Mitigation (Hemen Reboot Yapamıyorsanız)
# Modülü kalıcı olarak engelle
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf
# Çalışan modülü kaldır
sudo rmmod algif_aead 2>/dev/null
# initramfs güncelle
sudo update-initramfs -u # Ubuntu / Debian
sudo dracut --force # RHEL / CentOS🔍 Doğrulama
# Modülün yüklenemediğini kontrol et
sudo modprobe algif_aead
# Hata almalısın
lsmod | grep algif_aead
# Boş çıktı = başarılıSonuç
Copy Fail, son yılların en ciddi Linux kernel açıklarından biri. Dirty Cow veya Dirty Pipe ile aynı sınıfta ama onlardan çok daha taşınabilir, çok daha güvenilir.
İyi haber: Patch zaten hazır. Kötü haber: PoC exploit de zaten kamuoyunda. Yani şu an patch’lenmemiş kernel çalıştıran her sistem potansiyel hedef.
Yapmanız gereken tek şey: Kernel’ınızı güncelleyin ve reboot atın. Eğer hemen yapamıyorsanız geçici mitigation olarak algif_aead modülünü kapatın.
Bu tür açıkları takip etmek, anlamak ve hızlı aksiyon alabilmek — işte bu yüzden siber güvenlik öğreniyoruz. Stay safe! 🔐
Kaynaklar
- Theori / Xint Code — Orijinal araştırma ve teknik yazı
- BleepingComputer — Copy Fail haberi
- The Register — Linux cryptographic code flaw
- Bugcrowd Blog — CVE-2026-31431 analizi
- NVD — CVE-2026-31431