ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Linux çekirdeğinde CVE-2024-1086 olarak takip edilen kritik bir serbest kullanım sonrası güvenlik açığı hakkında acil bir uyarı yayınladı.
netfilter: nf_tables bileşeni içinde gizlenen bu güvenlik açığı, yerel saldırganların ayrıcalıklarını artırmasına ve potansiyel olarak dünya çapındaki kurumsal sistemleri ciddi şekilde bozabilecek fidye yazılımlarını dağıtmasına olanak tanıyor.
İlk olarak bu yılın başlarında açıklanan güvenlik açığı, CISA’nın 31 Ekim 2025’te güncellenen Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna göre artık yama uygulanmamış Linux sunucularını hedef alan aktif istismar kampanyalarıyla ilişkilendiriliyor.
Linux, bulut altyapısından IoT cihazlarına kadar her şeye güç sağladığından, bu uyarı, artan fidye yazılımı olaylarıyla birlikte açık kaynak ekosistemlerine yönelik büyüyen tehdidin altını çiziyor.
Güvenlik araştırmacıları, saldırganların CVE-2024-1086’yı uygunsuz bellek tahsisini tetikleyen kötü amaçlı netfilter kuralları oluşturarak istismar ettiğini doğruladı. Genellikle kimlik avı veya zayıf kimlik bilgileri yoluyla elde edilen yerel erişime sahip bir kullanıcı bu açıktan yararlanmayı çalıştırdığında, sistem bir ağ tablosuyla ilişkili belleği serbest bırakır ancak işaretçiyi geçersiz kılmayı başaramaz ve sarkan referansların yeniden kullanılmasına izin verir.
Bu, kök ayrıcalıklarıyla rastgele kod yürütülmesine yol açarak LockBit veya Conti çeşitleri gibi fidye yazılımı dağıtımının önünü açıyor.
CISA, etkilenen sürümlerin özellikle çekirdek 6.1.77’den önceki sürümler olmak üzere Ubuntu, Red Hat Enterprise Linux ve Debian gibi yaygın olarak kullanılan dağıtımları kapsadığını belirterek anında yama uygulamayı vurguluyor.
Linux Çekirdeğinde Ücretsiz Kullanım Sonrası Güvenlik Açığı İstismara Uğradı
Güvenlik açığı, çekirdeğin netfilter alt sisteminin kural değerlendirmeleri sırasında tablo imhasını yanlış yönettiği klasik serbest bırakma sonrası kullanım hatasından (CWE-416) kaynaklanıyor. Saldırganın yalnızca yerel yürütme haklarına ihtiyacı vardır, bu da onu ilk erişimden sonra güçlü bir ikinci aşama yükü haline getirir.
Fidye yazılımı senaryolarında tehdit aktörleri, dosyaları şifrelemek ve verileri dışarı çıkarmak için bunu sosyal mühendislikle zincirleyerek kripto para birimi cinsinden fidye talep ediyor. Mart 2024’ten bu yana yer altı forumlarında istismar kavram kanıtları dolaşıyor ve sağlık ve finans sektörlerine yönelik gerçek dünya saldırıları 2025’in 3. çeyreğinde artış gösteriyor.
Ayrıntılı bir genel bakış için aşağıdaki CVE spesifikasyonlarına bakın:
| CVE Kimliği | Tanım | Etkilenen Ürünler/Sürümler | CVSS v3.1 Puanı | Teknik Detaylar | Azaltma |
|---|---|---|---|---|---|
| CVE-2024-1086 | Netfilter’da ücretsiz kullanım: yerel ayrıcalık artışına yol açan nf_tables | Linux Çekirdeği < 6.1.77; Ubuntu 20.04/22.04 LTS; RHEL 8/9; Debian 11/12 (net filtre modülü) | 7,8 (Yüksek) | Nftables kural işlemede bellek ayırma hatası; yerel erişim gerektirir; sarkan işaretçinin yeniden kullanımı yoluyla kök kabuğunu etkinleştirir | Çekirdek 6.1.77+ sürümüne güncelleme; Kullanılmıyorsa nf_tables’ı devre dışı bırakın; satıcı yamalarını uygulayın (örneğin, Ubuntu USN-6190-1) |
Kuruluşlar, zayıf çekirdekler için Lynis veya OpenVAS gibi araçları kullanarak ortamları taramalı ve satıcının rehberliğine göre azaltıcı önlemler uygulamalıdır.
Güncellemeler mevcut değilse CISA, etkilenen ürünlerin kullanımının durdurulmasını önerir. Bu olay, saldırganların yüksek etkili fidye yazılımı için giderek daha fazla açık kaynak kusurlarını hedef aldığı hibrit bulutlardaki eski Linux dağıtımlarının risklerini vurguluyor.
Kötüye kullanım geliştikçe, SELinux’un etkinleştirilmesi ve netfilter günlüklerinin izlenmesi gibi proaktif çekirdek sağlamlaştırma, bu gizli tehditleri engellemek için gerekli olmaya devam ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
