Siber güvenlik araştırmacıları, Linux çekirdeğinde 2011 yılından bu yana bulunan kritik bir güvenlik açığını ortaya çıkardı. GhostLock (CVE-2026-43499) olarak adlandırılan zafiyet, yamalanmamış sistemlerde oturum açabilen düşük yetkili bir kullanıcının yaklaşık beş saniye içinde root ayrıcalıkları elde etmesine imkân tanıyabiliyor. Nebula Security tarafından açıklanan açık, Linux 2.6.39 sürümüyle sisteme eklenirken Linux 7.1 sürümünde giderildi.

GhostLock Linux Çekirdeğinin Temel Mekanizmasını Hedef Alıyor

Nebula Security’nin yayımladığı teknik analize göre GhostLock, Linux çekirdeğindeki futex (fast userspace mutex) işlemleri sırasında kullanılan remove_waiter() yardımcı fonksiyonundaki mantık hatasından kaynaklanıyor. Belirli koşullarda çekirdek, bekleyen iş parçacığı yerine çalışan göreve ait işaretçiyi temizlediği için serbest bırakılmış belleği gösteren geçersiz bir çekirdek işaretçisi oluşuyor. Araştırmacılar, bu durumun saldırganların çekirdeği yanıltarak rastgele bellek adreslerine yazmasına ve sonunda çekirdek fonksiyon tablolarını ele geçirerek root yetkisi kazanmasına olanak tanıdığını belirtiyor.

Nebula Security, hazırladığı kavram kanıtlama (PoC) kodunun yaklaşık yüzde 97 başarı oranına ulaştığını açıkladı. Araştırmacılara göre açık yalnızca yerel yetkisi bulunan kullanıcılar tarafından istismar edilebilse de ek yönetici ayrıcalıkları veya ağ erişimi gerektirmiyor. Daha da önemlisi GhostLock, konteyner ortamlarından ana işletim sistemine kaçış (container escape) gerçekleştirilmesine de izin verebiliyor. Bu durum Kubernetes kümeleri, konteyner platformları ile paylaşımlı Linux sunucularını daha kritik hedefler hâline getiriyor.

GhostLock ayrıca IonStack adı verilen iki aşamalı saldırı zincirinin ikinci halkasını oluşturuyor. İlk aşamada yer alan CVE-2026-10702 kodlu Firefox açığı, tarayıcı içinde uzaktan kod çalıştırılmasına ve sandbox korumasının aşılmasına imkân tanıyor. Ardından GhostLock kullanılarak sistem genelinde root erişimi elde edilebiliyor. CVSS puanı 7.8 olarak belirlenen açık, saldırganın önce sisteme yerel erişim sağlamasını gerektirdiği için “yüksek” önem seviyesinde değerlendiriliyor.

Güncelleme Yapılmayan Sistemler Risk Altında Bulunuyor

Pentest Tools Güvenlik Yöneticisi Daniel Bechenea, çekirdek açıklarının geçmişte saldırganlar açısından yüksek teknik maliyet taşıdığını ancak GhostLock’un yüksek başarı oranı nedeniyle bu denklemi değiştirebileceğini söyledi. Bechenea’ya göre özellikle CI/CD sunucuları, konteyner platformları, çok kiracılı (multi-tenant) sistemler ile paylaşımlı geliştirme ortamları öncelikli olarak güncellenmeli. Araştırmacı ayrıca yalnızca güncellemenin yayımlandığını varsaymak yerine her sistemde yüklü çekirdek sürümünün doğrulanmasını öneriyor.

Nebula Security, eski Linux çekirdeği kullanan sistemlerin açık istismar edilene kadar savunmasız kalacağını vurguluyor. Güvenlik uzmanları, Linux 7.1 veya üreticilerin ilgili yamaları içeren çekirdek paketlerine geçilmesini, özellikle güvenilmeyen kod çalıştıran sunucularda acil güncelleme planlarının uygulanmasını tavsiye ediyor. İşletim sistemi çekirdeğinde çalışan açıkların en yüksek yetki seviyesinde etkili olması nedeniyle GhostLock’un kurumsal Linux altyapıları için öncelikli riskler arasında değerlendirilmesi gerektiği belirtiliyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.