Copy Fail Linux açığı CISA KEV'e eklendi; yamalar acilen yayımlandı

ABD Siber Güvenlik ve Altyapı Ajansı (CISA), “Copy Fail” olarak adlandırılan CVE-2026-31431 numaralı Linux çekirdeği açığını Known Exploited Vulnerabilities (KEV) kataloğuna ekledi; zafiyetin aktif olarak istismar edildiğine dair kanıtlar ajans kayıtlarına yansıdı. Bu adım federal kurumlar ve kritik altyapı operatörleri için olayı öncelikli güvenlik müdahalesi haline getiriyor.

Araştırmacılar, hatanın Linux kriptografik şablonunda bir mantık kusuru olduğunu ve 732 baytlık basit bir Python betiğiyle yerel ayrıcalık yükseltme (root erişimi) sağlanabildiğini belirtti; zafiyet 2017'den bu yana dağıtılan birçok çekirdeği etkiliyor. Ulusal Güvenlik Veritabanı (NVD) ve güvenlik araştırmaları teknik ayrıntıları, ilgili kernel düzeltmelerinin hangi commit veya sürümlerde uygulandığını listeliyor; dağıtıcılar kısa sürede 6.18.22, 6.19.12 ve 7.0 gibi sabit sürümlerle yamalar yayımladı.

Olayın en somut piyasa etkisi, bulut sağlayıcılar, veri merkezi işletmeleri ve konteyner tabanlı hizmetlerde ortaya çıktı; zafiyet konteyner izolasyonunu kırarak tek bir konteyner veya düşük yetkili kullanıcı üzerinden ana sistemde kök erişimine yol açabiliyor. Bu durum barındırma maliyetlerini, acil müdahale harcamalarını ve operasyonel planlamayı etkileyebilir; aynı zamanda siber sigorta primleri ve güvenlik hizmeti talebinde kısa vadede artış yaratma potansiyeli taşıyor. CISA'nın KEV kaydı federal kurumlara 15 Mayıs 2026'ya kadar yama/önlem zorunluluğu içeren takvimler belirledi.

Geniş bağlamda Copy Fail, açık kaynak çekirdek yazılımının tedarik zinciri ve altyapı güvenliği risklerini yeniden gündeme taşıdı. Kritik hizmetler üzerinde çalışan işletmeler için yalnızca yamayı uygulamak değil, canlı yamalar, kernel canlı düzeltmeleri (livepatch) ve host düzeyinde önleyici BPF/LSM çözümleri gibi geçici hafifletmelerin hızlıca devreye alınması gerekiyor. Büyük dağıtıcılar ve Linux çekirdeği ekosistemi, raporun ardından hızla düzeltmeler sağlarken, yaygın entegrasyonlar nedeniyle kapsamlı doğrulama ve yeniden başlatma planlaması gerekecek.

Analistler ve güvenlik satıcıları, kısa vadede etkiyi sınırlandırmak için yama yönetimi, envanter taraması ve istismar göstergelerinin (IoC) takibini öneriyor. Güvenlik firmaları ayrıca saldırı zincirlerinde kullanımı kolaylaştıran araçların hızla yayıldığına dikkat çekiyor; bu yüzden kurumların hem üretim hem test sistemlerinde tam doğrulama yapmaları, canlı yamalar mümkün değilse BPF/LSM bazlı önlemler uygulamaları ve ihlal tespiti/tepkisinde hazır olmaları gerektiği vurgulanıyor. Avrupa CERT ve Tenable gibi kuruluşlar teknik doğrulama ve geçici çözümlerle ilgili rehberler yayımladı.