25 Haziran 2026’da JFrog Güvenlik Araştırma ekibi, DirtyClone adını verdikleri bir Linux çekirdek açığı için çalışan bir istismar anlatısı yayımladı. CVE-2026-43503 olarak takip edilen ve CVSS puanı 8,8 olan bu açık, yaması yapılmamış bir sistemdeki herhangi bir yerel kullanıcının root yetkisi elde etmesine olanak tanıyor. Üstelik saldırı diskte hiçbir iz bırakmıyor. Bu iki özelliğin bir arada bulunması, hosting sunucusu işleten herkesin dikkatini çekmelidir.
Açık Nerede?
Sorun, __pskb_copy_fclone() adlı bir çekirdek fonksiyonunda gizli. Bu fonksiyon, ağ paketlerini çekirdek içinde kopyalarken SKBFL_SHARED_FRAG adlı bir güvenlik bayrağını düşürüyor. Bu bayrak, paket belleğinin diskteki bir dosyayla paylaşıldığını işaret eder; bayrak olmayınca çekirdek söz konusu belleği salt okunur olarak kabul etmiyor ve saldırgan oraya yazabiliyor.
Bu, DirtyFrag ailesinin dördüncü türevi. Nisan’daki Copy Fail, Mayıs’taki DirtyFrag ve Fragnesia’nın ardı ardına geldiğini düşününce bir örüntü belirginleşiyor: her yama bir kod yolunu kapatıyor, araştırmacılar bir sonraki bitişik yolu buluyor.
Saldırı Nasıl İşliyor?
Saldırganın CAP_NET_ADMIN ayrıcalığına ihtiyacı var. Debian ve Fedora’da ayrıcalıksız kullanıcı ad alanları varsayılan olarak etkin olduğundan, sistemdeki sıradan bir kullanıcı yeni bir ad alanı açıp bu ayrıcalığı oradan elde edebiliyor — ana sistemin izin modeliyle hiç muhatap olmadan.
Ayrıcalık elde edildikten sonra saldırı şöyle işliyor: /usr/bin/su gibi yetkili bir ikili dosya belleğe yükleniyor, bu bellek sayfaları bir ağ paketine bağlanıyor ve paket bir geri döngü IPsec tünelinden geçirilerek kopyalanmaya zorlanıyor. IPsec şifre çözme adımı, saldırganın seçtiği baytları doğrudan ikili dosyanın bellekteki kopyasına yazıyor; kimlik doğrulama kontrolleri eziliyor. Bir sonraki su çalıştırmasında root elde ediliyor.
Diskteki dosyaya hiç dokunulmuyor. Yalnızca çekirdeğin sayfa önbelleği değiştiriliyor. Disk hash’leriyle karşılaştırma yapan dosya bütünlüğü araçları hiçbir şey görmüyor; denetim kayıtları da sessiz kalıyor. Makine yeniden başlatıldığında orijinal ikili geri geliyor — ama saldırgan o ana kadar çoktan root olmuş oluyor.
Ubuntu 24.04 ve sonrası, AppArmor ad alanı kısıtlamaları sayesinde varsayılan istismar yolunu engelliyor. Ancak bu koruma aktif değilse ya da gevşetilmişse sistem açık.
Hosting Sunucuları Neden Hedef?
JFrog’un tehdit modeli son derece net: paylaşımlı hosting, VPS altyapısı, CI/CD runner’ları, konteyner sunucuları ve Kubernetes kümeleri — yani birden fazla kullanıcının ya da iş yükünün aynı çekirdeği paylaştığı ortamlar.
Paylaşımlı bir hosting hesabı, bir CI işi ya da çok kiracılı bir düğümdeki konteyner; hepsi sınırlı kullanıcı olarak başlar. DirtyClone, bunların herhangi birini fiziksel sunucunun root’una dönüştürür. Saldırı tamamen bellekte gerçekleştiği için “diskteki ikili dosya doğru mu?” sorusuna dayanan olağan olay sonrası kontroller işe yaramaz.
Ne Yapmalı?
Çekirdeği güncelleyin. Düzeltme, 21 Mayıs’ta 48f6a5356a33 commit’iyle Linux ana dalına girdi ve v7.1-rc5 ile yayımlandı. Başlıca dağıtımlar geri bağlantı (backport) yayımladı:
Dağıtımınızın güncelleme kanalını kontrol edin ve çekirdek paketi güncellendikten sonra sunucuyu yeniden başlatın. CloudLinux veya AlmaLinux üzerinde cPanel ya da Plesk çalıştırıyorsanız, yamalı çekirdeğin satıcınız tarafından yayımlandığını doğrulamadan kapandığınızı varsaymayın.
Bugün yama yapamıyorsanız, ayrıcalıksız kullanıcı ad alanlarını kısıtlayın. Debian ve Ubuntu’da:
sysctl -w kernel.unprivileged_userns_clone=0
Kalıcı olması için /etc/sysctl.d/ altına ekleyin. Bu ayar, yayımlanan istismarın dayandığı ayrıcalık kazanım yolunu ortadan kaldırır. Kullanıcı ad alanlarına ihtiyaç duyan bazı konteyner altyapılarını bozabileceğinden önce test edin.
esp4, esp6 ve rxrpc modüllerini devre dışı bırakmak da saldırı yolunu kesiyor, ancak IPsec ve AFS’i bozuyor; üstelik bu modüller çekirdeğe derlenmiş olduğunda bu seçenek işe yaramıyor. Çoğu dağıtımda esp4 gömülü geldiğinden bu geçici çözüm pratikte sınırlı kalıyor.
kalfaoglu.net Müşterileri İçin Ne Anlam İfade Ediyor?
kalfaoglu.net, Debian ve Ubuntu tabanlı Linux sunucuları işletiyor. Ubuntu tavsiyesi yayımlanır yayımlanmaz tüm sunuculara yamalı çekirdek uyguladık ve yeniden başlattık. Planlarımızdan biri üzerinde kendi VPS’inizi çalıştırıyorsanız giriş yapıp şunu çalıştırın:
uname -r
Çıkan çekirdek sürümünü dağıtımınızın güvenlik tavsiyesindeki sürümle karşılaştırın. Emin değilseniz bir destek talebi açın, sizin için kontrol edelim.
DirtyFrag ailesinin burada bitmesi beklenmiyor; yukarı akış analizleri, parça aktarım yardımcılarında aynı sorunun başka örneklerinin de bulunabileceğine işaret ediyor. Çok kiracılı altyapıda çekirdek güncellemelerini ertelemek gerçekten bir seçenek değil.