Son günlerde Türkiye’nin köklü platformlarından biri olan gezginler.net de dahil olmak üzere, binlerce web sitesinin birbiri ardına hacklendiğine şahit oluyoruz. Bu devasa hack dalgasının arkasında, siber güvenlik dünyasını alarma geçiren iki farklı zero-day zafiyetinin ölümcül kombinasyonu (Attack Chain) yatıyor.
Saldırganlar, web sunucularına sızmak için önce cPanel üzerindeki bir kimlik doğrulama atlatma açığını (CVE-2026-41940) kullanıyor; ardından sistemin tamamını (Root) ele geçirmek için Nisan 2026’nın en çok konuşulan Linux çekirdek zafiyeti olan Copy Fail Zafiyeti‘ni (CVE-2026-31431) tetikliyorlar. CUMBUR.NET okuyucuları için, bu iki aşamalı saldırının anatomisini ve eğitim niteliğindeki kavramsal istismar (PoC) adımlarını inceliyoruz.
📋 İçindekiler Tablosu
- 1. Aşama (Initial Access): cPanel Kimlik Doğrulama Zafiyeti
- 2. Aşama (Yetki Yükseltme): Copy Fail Zafiyeti Nedir?
- Eğitim Amaçlı PoC: Copy Fail Nasıl İstismar Ediliyor?
- Teknik İzler ve IoC Özeti Tablosu
- Sistem Yöneticileri Ne Yapmalı? (Çözüm Adımları)
1. Aşama (Initial Access): cPanel Kimlik Doğrulama Zafiyeti (CVE-2026-41940)
Saldırganların Linux sunucusunun derinliklerindeki Copy Fail zafiyeti‘ni tetikleyebilmeleri için önce sunucuda düşük yetkili bir hesapla (shell) var olmaları gerekir. İşte gezginler.net gibi büyük sitelerin vurulmasına neden olan ilk açık, 28 Nisan 2026 tarihinde duyurulan 9.8 kritik skorlu cPanel açığıdır.
CVE-2026-41940, cPanel ve WHM’in oturum açma akışındaki bir CRLF (Carriage Return Line Feed) enjeksiyonu hatasıdır. Saldırganlar, geçerli bir şifreye ihtiyaç duymadan, şifre parametresine ekledikleri yeni satır karakterleriyle kimlik doğrulamayı atlatarak cPanel arayüzüne yetkisiz erişim sağlarlar. Bu sayede sunucuya kolayca bir WebShell yükleyerek “www-data” veya “nobody” gibi düşük yetkili bir kullanıcı olarak terminal erişimi (Initial Access) elde ederler.
2. Aşama (Yetki Yükseltme): Copy Fail Zafiyeti Nedir? (CVE-2026-31431)
Saldırgan düşük yetkilerle içeri girdikten sonra, güvenlik araştırmacıları tarafından keşfedilen ve 2017’den beri tüm Linux dağıtımlarında var olan Copy Fail zafiyeti‘ni devreye sokar. Tıpkı geçmişteki “Dirty Pipe” veya “Dirty COW” gibi çalışan bu açık, sadece 732 baytlık bir Python scripti ile sistemde saniyeler içinde Root yetkisi almanızı sağlar.
Zafiyetin kök nedeni, Linux çekirdeğinin (Kernel) kriptografik API alt sisteminde, özellikle authencesn şablonu içindedir. Çekirdek, verileri kopyalamadan aktarmak için splice() sistem çağrısını kullandığında, dosyaların RAM’de tutulan önbellek sayfalarına doğrudan referans verir. Mantık hatası (Logic Bug) tam burada başlar; kriptografik işlemler sırasında çekirdek, Salt Okunur (Read-Only) olması gereken bu bellek sayfalarına kazara yazma izni verir.
Eğitim Amaçlı PoC: Copy Fail Nasıl İstismar Ediliyor?
Bu açığın bu kadar tehlikeli olmasının sebebi, eski açıklar gibi bir Race Condition beklemesine veya Timing ihtiyaç duymamasıdır. Doğrudan ve %100 oranında çalışır. İstismar adımlarının kavramsal analizi (PoC) şöyledir:
Adım 1: AF_ALG Soketi Açma
Saldırgan öncelikle Linux’un kripto API’sine standart bir soket açar. Bu işlem için ekstra bir yetkiye gerek yoktur.
# Kavramsal Python PoC Adımı
s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
s.bind(("aead", "authencesn(hmac(sha256),cbc(aes))"))Adım 2: Splice() ile Hedef Dosyayı Hedefleme
Saldırgan, sistemde “Root” yetkisiyle çalışan kritik bir ikili dosyayı (Örneğin /usr/bin/su veya /usr/bin/sudo) okumak üzere belleğe alır ve splice() fonksiyonu ile kripto soketine bağlar.
Adım 3: 4 Baytlık Bozulma (Corruption) ve Çalıştırma
Saldırgan AES şifre çözme işlemini başlattığında, authencesn modülü gelen verinin “Sıra Numarasını” (seqno_lo) doğrulamaya çalışırken hata yapar ve saldırganın belirlediği 4 baytlık bir shellcode parçasını doğrudan /usr/bin/su dosyasının önbellekteki .text bölümüne yazar. Sadece 4 baytlık bir değişimle dosyanın orijinal komutu, saldırganın zararlı koduna dönüşür.
Artık saldırgan komut satırından su yazıp enter tuşuna bastığı an, orijinal program yerine belleğe yeni yazılmış olan zararlı shellcode çalışır ve doğrudan <span style="color: #ff0000;"><strong># root</strong></span> terminali elde edilir.
Teknik İzler ve IoC Özeti Tablosu
Kurumların saldırı zincirini tespit edebilmesi için aşağıdaki teknik tablo referans alınmalıdır:
| Saldırı Bileşeni / Zafiyet | Detaylar ve Savunma İzleri (IoC) |
|---|---|
| cPanel Auth Bypass (CVE-2026-41940) | CVSS: 9.8. cPanel erişim loglarında yeni satır karakteri içeren (CRLF) anormal başarılı login HTTP istekleri. |
| Linux Copy Fail (CVE-2026-31431) | CVSS: 7.8. Tüm ana akım Linux dağıtımlarında (2017’den beri) Kernel Crypto API mantık hatası. |
| İstismar Modülü | AF_ALG soket çağrıları ve sistemdeki algif_aead kernel modülünün aktif kullanımları. |
Sistem Yöneticileri Ne Yapmalı? (Çözüm Adımları)
Zincirleme gerçekleşen bu ölümcül ataklara karşı Linux sistem ve sunucu yöneticilerinin acilen atması gereken iki temel adım vardır:
- cPanel/WHM Güncellemesi: cPanel panellerinizi (Eğer hala yapmadıysanız) derhal en son yamalı sürüme güncelleyerek saldırganların ilk erişim kapısını kapatın.
- Çekirdek (Kernel) Yaması veya Geçici Çözüm: Debian, Ubuntu, RHEL ve Amazon Linux gibi dağıtımlar Copy Fail zafiyeti için çekirdek (kernel) güncellemelerini yayınladı. Acil olarak
apt update && apt upgradeile yeni çekirdeği kurup sunucuyu yeniden başlatmalısınız.
Yeniden Başlatma Yapamayanlar İçin Geçici Önlem (Mitigation): Eğer sunucuyu hemen yeniden başlatamıyorsanız, zafiyetli çekirdek modülünü (algif_aead) devre dışı bırakarak geçici bir kalkan oluşturabilirsiniz:
# Root olarak çalıştırın:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || trueDaha fazla siber istihbarat ve kurumsal savunma analizi için CUMBUR.NET Siber Güvenlik kategorimizi takip edebilir, zafiyetlerle ilgili resmi referansları NVD Veritabanı üzerinden inceleyebilirsiniz.
