Tarih: 15 Mayıs 2026
Kategori: Kernel Exploitation • Local Privilege Escalation (LPE)
Yazar: Ek28
Linux çekirdeğinde ortaya çıkan yeni nesil yerel yetki yükseltme zinciri, güvenlik dünyasında büyük yankı uyandırdı: Dirty Frag.
Eğer daha önce Dirty Pipe veya Copy-on-Write temelli çekirdek açıkları ilginizi çektiyse, bu zincir çok daha dikkat çekici olabilir. Çünkü bu kez saldırganlar, Linux çekirdeğinin ağ paketlerini işlerken performans için kullandığı “zero-copy” mantığını hedef alıyor.
Üstelik en tehlikeli kısmı şu:
Diskteki dosya doğrudan değiştirilmeden, yalnızca RAM üzerindeki görüntü manipüle edilerek geçici root erişimi elde edilebiliyor.
Dirty Frag aslında iki farklı güvenlik açığının birleşiminden oluşan bir istismar zinciridir:
Bu zincirin temelinde, Linux çekirdeğinin ağ paketlerini işlerken kullandığı “fragment” mekanizması bulunuyor.
Normal şartlarda çekirdek, performansı artırmak amacıyla veri kopyalamaktan kaçınır. Buna “zero-copy” yaklaşımı denir. Ancak bazı senaryolarda çekirdek, bellekteki veri sayfasının gerçekten güvenli olup olmadığını yeterince doğrulamadan doğrudan yazma işlemi gerçekleştirebilir.
İşte Dirty Frag tam olarak bu güven varsayısını hedef alıyor.
Bir saldırganın sıradan kullanıcıdan root yetkisine nasıl ulaştığını adım adım inceleyelim.
İlk hedef, sistemde kritik bir dosyanın Page Cache içerisine alınmasını sağlamaktır.
En klasik örnek:
/etc/passwd
Dosya okununca çekirdek bunu RAM üzerindeki bir page içerisine yerleştirir.
Bu sayfa normalde:
olarak işaretlenmiştir.
Saldırgan, RxRPC protokolü üzerinden özel hazırlanmış bir ağ isteği gönderir.
Buradaki kritik nokta:
Çekirdeğe, alınan veriyi yeni bir bellek alanına değil, doğrudan mevcut page üzerine yazması söylenir.
Yani saldırgan aslında şunu yapmaya çalışır:
Çekirdek, skb (socket buffer) fragmanlarını işlerken hedef sayfanın:
yeterince doğrulamaz.
Bu noktada saldırganın payload’u devreye girer.
Örnek hedef:
root:x:0:0:root:/root:/bin/bash
Payload sonrası:
root::0:0:root:/root:/bin/bash
Bu küçük değişiklik, root hesabını şifresiz hale getirebilir.
Bir saldırganın terminal ekranında süreç şu şekilde görünebilir:
# Mevcut kullanıcı kontrolü
$ id
uid=1001(Ek28) gid=1001(Ek28) groups=1001(Ek28)
# Exploit çalıştırılıyor
$ ./dirtyfrag_exploit /etc/passwd
[+] Targeting /etc/passwd...
[+] Pinning page in cache...
[+] Triggering RxRPC in-place write...
[+] Memory corruption successful!
# Root erişimi
$ su -
root@linux-box:~# id
uid=0(root) gid=0(root) groups=0(root)
Dirty Frag’in en kritik tarafı şudur:
Manipülasyon yalnızca:
üzerinde gerçekleşir.
Bu nedenle:
Sistem yeniden başladığında veya cache temizlendiğinde izlerin bir kısmı kaybolabilir.
Dirty Frag tek başına uzaktan çalışan bir exploit değildir.
Önce sisteme düşük yetkili erişim gerekir.
Bu nedenle saldırganlar genellikle:
üzerinden ilk erişimi elde etmeye çalışır.
Ardından LPE zinciri devreye girer.
Saldırganların kullandığı örnek sorgular:
intitle:"Index of" "Ubuntu 24.04"
"Apache/2.4" "OpenSSH"
Amaç:
tespit etmektir.
Shodan üzerinden yapılan filtrelemelerle:
tespit edilebilir.
İlk erişim sağlandığında Dirty Frag zinciri root seviyesine çıkmak için kullanılabilir.
Sistem yöneticileri için en kritik adımlar:
Kullanmıyorsanız ilgili modülü kara listeye alın:
echo "install rxrpc /bin/false" > /etc/modprobe.d/dirtyfrag.conf
Kernel seviyesindeki açıklar için en etkili savunma:
olacaktır.
Şüpheli bir durumda:
echo 3 > /proc/sys/vm/drop_caches
komutuyla page cache temizlenebilir.
Dirty Frag, Linux çekirdeğinde performans için geliştirilen mekanizmaların, nasıl ciddi güvenlik risklerine dönüşebileceğini gösteren çarpıcı örneklerden biri oldu.
Çekirdek seviyesindeki mantık hataları:
dönüştürebilecek kadar güçlü olabilir.
Özellikle modern Linux sunucularında, yalnızca kullanıcı alanındaki güvenliğe odaklanmak artık yeterli değil.
Dirty Frag, bize çekirdek seviyesindeki mantık hatalarının ne kadar güçlü olabileceğini bir kez daha gösterdi. Güvenli (veya kirli) kalın, karar sizin.
Kernel güvenliği artık doğrudan sistem güvenliğinin kendisi haline gelmiş durumda.
Bu içerik https://spyhackerz.org/ için hazırlanmıştır, kaynak göstermeden paylaşmayın.
Kategori: Kernel Exploitation • Local Privilege Escalation (LPE)
Yazar: Ek28
Linux çekirdeğinde ortaya çıkan yeni nesil yerel yetki yükseltme zinciri, güvenlik dünyasında büyük yankı uyandırdı: Dirty Frag.
Eğer daha önce Dirty Pipe veya Copy-on-Write temelli çekirdek açıkları ilginizi çektiyse, bu zincir çok daha dikkat çekici olabilir. Çünkü bu kez saldırganlar, Linux çekirdeğinin ağ paketlerini işlerken performans için kullandığı “zero-copy” mantığını hedef alıyor.
Üstelik en tehlikeli kısmı şu:
Diskteki dosya doğrudan değiştirilmeden, yalnızca RAM üzerindeki görüntü manipüle edilerek geçici root erişimi elde edilebiliyor.
1. Dirty Frag Nedir?
Dirty Frag aslında iki farklı güvenlik açığının birleşiminden oluşan bir istismar zinciridir:
- CVE-2026-43284
- CVE-2026-43500
Bu zincirin temelinde, Linux çekirdeğinin ağ paketlerini işlerken kullandığı “fragment” mekanizması bulunuyor.
Normal şartlarda çekirdek, performansı artırmak amacıyla veri kopyalamaktan kaçınır. Buna “zero-copy” yaklaşımı denir. Ancak bazı senaryolarda çekirdek, bellekteki veri sayfasının gerçekten güvenli olup olmadığını yeterince doğrulamadan doğrudan yazma işlemi gerçekleştirebilir.
İşte Dirty Frag tam olarak bu güven varsayısını hedef alıyor.
2. Zafiyetin Anatomisi (The Kill Chain)
Bir saldırganın sıradan kullanıcıdan root yetkisine nasıl ulaştığını adım adım inceleyelim.
Adım 1 — Hedef Sayfanın Hazırlanması
İlk hedef, sistemde kritik bir dosyanın Page Cache içerisine alınmasını sağlamaktır.
En klasik örnek:
/etc/passwd
Dosya okununca çekirdek bunu RAM üzerindeki bir page içerisine yerleştirir.
Bu sayfa normalde:
- Salt okunur (read-only)
- Paylaşımlı (shared)
- Korumalı
olarak işaretlenmiştir.
Adım 2 — Çekirdeğin Kandırılması
Saldırgan, RxRPC protokolü üzerinden özel hazırlanmış bir ağ isteği gönderir.
Buradaki kritik nokta:
Çekirdeğe, alınan veriyi yeni bir bellek alanına değil, doğrudan mevcut page üzerine yazması söylenir.
Yani saldırgan aslında şunu yapmaya çalışır:
Adım 3 — Belleğin Zehirlenmesi
Çekirdek, skb (socket buffer) fragmanlarını işlerken hedef sayfanın:
- salt okunur olup olmadığını,
- paylaşımlı durumda bulunup bulunmadığını,
- güvenli şekilde ayrıştırılıp ayrıştırılmadığını
yeterince doğrulamaz.
Bu noktada saldırganın payload’u devreye girer.
Örnek hedef:
root:x:0:0:root:/root:/bin/bash
Payload sonrası:
root::0:0:root:/root:/bin/bash
Bu küçük değişiklik, root hesabını şifresiz hale getirebilir.
3. İstismar Senaryosu (PoC Akışı)
Bir saldırganın terminal ekranında süreç şu şekilde görünebilir:
# Mevcut kullanıcı kontrolü
$ id
uid=1001(Ek28) gid=1001(Ek28) groups=1001(Ek28)
# Exploit çalıştırılıyor
$ ./dirtyfrag_exploit /etc/passwd
[+] Targeting /etc/passwd...
[+] Pinning page in cache...
[+] Triggering RxRPC in-place write...
[+] Memory corruption successful!
# Root erişimi
$ su -
root@linux-box:~# id
uid=0(root) gid=0(root) groups=0(root)
4. Neden Bu Kadar Tehlikeli?
Dirty Frag’in en kritik tarafı şudur:
Manipülasyon yalnızca:
- RAM üzerindeki page cache,
- geçici bellek görüntüsü,
- çekirdeğin aktif çalışma alanı
üzerinde gerçekleşir.
Bu nedenle:
- bazı log sistemleri değişikliği fark etmeyebilir,
- dosya bütünlük kontrolleri atlatılabilir,
- saldırgan geçici “hayalet root” erişimi elde edebilir.
Sistem yeniden başladığında veya cache temizlendiğinde izlerin bir kısmı kaybolabilir.
5. Saldırganlar Hedefleri Nasıl Buluyor?
Dirty Frag tek başına uzaktan çalışan bir exploit değildir.
Önce sisteme düşük yetkili erişim gerekir.
Bu nedenle saldırganlar genellikle:
- zayıf SSH yapılandırmaları,
- sızdırılmış kullanıcı bilgileri,
- web panel açıkları,
- container breakout senaryoları
üzerinden ilk erişimi elde etmeye çalışır.
Ardından LPE zinciri devreye girer.
Google Dorking
Saldırganların kullandığı örnek sorgular:
intitle:"Index of" "Ubuntu 24.04"
"Apache/2.4" "OpenSSH"
Amaç:
- işletim sistemi sürümünü,
- çekirdek versiyonunu,
- potansiyel saldırı yüzeyini
tespit etmektir.
Shodan Taramaları
Shodan üzerinden yapılan filtrelemelerle:
- açık SSH servisleri,
- eski Linux sürümleri,
- güncellenmemiş sunucular
tespit edilebilir.
İlk erişim sağlandığında Dirty Frag zinciri root seviyesine çıkmak için kullanılabilir.
6. Savunma Hattı
Sistem yöneticileri için en kritik adımlar:
RxRPC Modülünü Devre Dışı Bırakın
Kullanmıyorsanız ilgili modülü kara listeye alın:
echo "install rxrpc /bin/false" > /etc/modprobe.d/dirtyfrag.conf
Kernel Güncellemelerini Bekletmeyin
Kernel seviyesindeki açıklar için en etkili savunma:
- hızlı patch yönetimi,
- düzenli kernel güncellemesi,
- LTS sürümlerin takip edilmesi
olacaktır.
Bellek Önbelleğini Temizleyin
Şüpheli bir durumda:
echo 3 > /proc/sys/vm/drop_caches
komutuyla page cache temizlenebilir.
Dirty Frag, Linux çekirdeğinde performans için geliştirilen mekanizmaların, nasıl ciddi güvenlik risklerine dönüşebileceğini gösteren çarpıcı örneklerden biri oldu.
Çekirdek seviyesindeki mantık hataları:
- düşük yetkili erişimi,
- tam sistem kontrolüne
dönüştürebilecek kadar güçlü olabilir.
Özellikle modern Linux sunucularında, yalnızca kullanıcı alanındaki güvenliğe odaklanmak artık yeterli değil.
Dirty Frag, bize çekirdek seviyesindeki mantık hatalarının ne kadar güçlü olabileceğini bir kez daha gösterdi. Güvenli (veya kirli) kalın, karar sizin.
Kernel güvenliği artık doğrudan sistem güvenliğinin kendisi haline gelmiş durumda.
Bu içerik https://spyhackerz.org/ için hazırlanmıştır, kaynak göstermeden paylaşmayın.
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
