Linux Dibobol 732 Byte, CVE-2026-31431 Masuk Daftar Darurat CISA

MEDIASERUNI.ID – Microsoft Defender mengungkap kerentanan kernel Linux tingkat tinggi bernama CVE-2026-31431, yang memungkinkan pengguna tanpa hak akses meraih kendali penuh setingkat root hanya dengan skrip 732 byte. Kerentanan ini sudah masuk katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV) milik CISA.

Apa Itu CVE-2026-31431 alias “Copy Fail”?

CVE-2026-31431, dijuluki Copy Fail, adalah celah keamanan berupa kesalahan logika pada modul algif_aead dari AF_ALG — antarmuka kriptografi ruang pengguna di kernel Linux. Celah ini pertama kali diperkenalkan melalui optimasi in-place pada 2017, di mana kernel menggunakan kembali memori sumber sebagai tujuan selama operasi kriptografi.

Skor CVSS kerentanan ini adalah 7,8 dari skala 10 dengan kategori Tinggi (High). Microsoft Defender menegaskan bahwa eksploitasi bersifat deterministik — tidak bergantung pada race condition — sehingga jauh lebih mudah dan andal dieksekusi dibandingkan banyak celah sejenis.

Distribusi Linux Mana Saja yang Terdampak?

Kerentanan ini memengaruhi hampir semua distribusi Linux yang menjalankan kernel rilis 2017 hingga versi yang telah diperbaiki. Daftar distribusi yang terkonfirmasi terdampak mencakup:

  • Ubuntu (termasuk 24.04 LTS)
  • Red Hat Enterprise Linux (RHEL 10.1)
  • SUSE 16
  • Amazon Linux 2023
  • Debian, Fedora, dan Arch Linux

Karena kontainer berbagi kernel dengan host, satu versi kernel yang rentan pada sebuah node langsung memperluas radius dampak dari satu kontainer ke seluruh node tersebut. Ini menjadikan lingkungan cloud, pipeline CI/CD, dan klaster Kubernetes sebagai permukaan serangan paling kritis.

Bagaimana Cara Kerja Eksploitasi Copy Fail?

Microsoft Defender merinci serangan dalam lima fase yang berurutan.

Fase Pengintaian dan Eksekusi Skrip

Penyerang memulai dengan pengintaian setelah memperoleh akses minimal — misalnya melalui runner CI yang disusupi, kontainer web, atau host multi-tenant. Informasi versi kernel mudah diperoleh dari dalam kontainer tanpa hak akses lebih tinggi.

Penyerang kemudian memanfaatkan skrip Python ringkas berukuran 732 byte. Skrip ini hanya berinteraksi dengan antarmuka kernel standar yang memang terekspos kepada pengguna tanpa hak istimewa, tidak bergantung pada jaringan, kompilasi, maupun pustaka pihak ketiga.

Mekanisme Korupsi Cache Kernel

Inti serangan menyalahgunakan interaksi antara antarmuka soket AF_ALG, panggilan sistem splice(), dan penanganan kesalahan yang tidak tepat selama operasi penyalinan yang gagal. Hasilnya adalah penimpaan 4 byte yang terkontrol di dalam cache halaman kernel.

Baca Juga:  Wartawan Diusir dari Lokasi Konser di Pemalang! Kebebasan Pers Dilecehkan di Ruang Publik

Penimpaan ini merusak representasi dalam memori dari biner istimewa — seperti /usr/bin/su — tanpa menyentuh file di disk sama sekali. Karena modifikasi hanya terjadi di dalam memori, jejak di sistem berkas tidak tertinggal.

Eskalasi ke Root Penuh

Setelah struktur kernel yang terkait dengan kredensial atau konteks eksekusi berhasil dirusak, proses penyerang naik ke UID 0. Batas kepercayaan kernel dilanggar, perlindungan SELinux dan AppArmor secara efektif dinetralkan, dan seluruh kontrol keamanan lokal dilewati.

Yang paling mengkhawatirkan, karena cache halaman dibagi di antara kontainer dan host, kerentanan ini juga membuka jalan bagi pelarian kontainer (container escape) dan kompromi lintas tenant dalam satu node yang sama.

Ancaman Nyata di Lingkungan Kubernetes dan Cloud

Microsoft Defender melihat aktivitas pengujian awal yang kemungkinan besar akan memicu peningkatan eksploitasi oleh pelaku ancaman dalam beberapa hari ke depan. Pernyataan ini diperkuat oleh keputusan CISA memasukkan CVE-2026-31431 ke dalam katalog KEV — sinyal resmi bahwa celah ini sudah aktif diincar.

Dalam lingkungan cloud dan Kubernetes, di mana eksekusi kode yang tidak tepercaya kerap terjadi, vektor ini sangat berbahaya. Serangan tidak memerlukan akses root di dalam kontainer, modul kernel tambahan, maupun akses jaringan — menjadikannya ideal untuk skenario pasca-eksploitasi dengan pijakan sekecil apa pun.

Langkah Mitigasi yang Direkomendasikan Microsoft

Microsoft Defender menetapkan tindakan segera dalam jendela 0–24 jam untuk seluruh tim keamanan yang mengelola sistem Linux.

Langkah prioritas pertama adalah mengidentifikasi semua instans kernel yang terdampak di seluruh lingkungan produksi. Jika patch sudah tersedia, terapkan segera melalui tautan buletin keamanan di NVD – CVE-2026-31431. Jika patch belum tersedia, pilih salah satu dari tiga solusi sementara: nonaktifkan fitur yang terpengaruh, terapkan isolasi jaringan, atau terapkan kontrol akses yang lebih ketat.

Microsoft secara khusus merekomendasikan penambalan atau pembaruan paket kernel distribusi untuk memblokir pembuatan soket AF_ALG. Setiap Remote Code Execution (RCE) pada kontainer harus diperlakukan sebagai potensi kompromi host, dengan daur ulang node yang cepat begitu indikator kompromi terdeteksi.

Bagi pelanggan Microsoft Defender XDR, deteksi aktif sudah tersedia di antaranya melalui Microsoft Defender Antivirus dengan label Exploit:Linux/CopyFailExpDl.A, Exploit:Python/CopyFail.A, dan Behavior:Linux/CVE-2026-31431. Microsoft Defender for Cloud juga sudah mampu mendeteksi potensi eksploitasi copy-fail secara langsung. Investigasi lanjutan oleh tim Microsoft Defender Security Research — yang melibatkan Andrea Lelli, Dietrich Nembhard, Nir Avnery, Ori Glassman, dan kontributor Microsoft Threat Intelligence — masih berlangsung.

Baca Juga:  Di Hari Guru Nasional , Bupati Pemalang Berkomitmen, Membahagiakan Guru Itu Merupakan Kewajiban

FAQ

Q: Apa itu CVE-2026-31431 atau Copy Fail?
A: CVE-2026-31431 alias Copy Fail adalah kerentanan eskalasi hak akses lokal (LPE) tingkat tinggi pada kernel Linux. Celah ini berada di modul algif_aead dari AF_ALG dan memungkinkan pengguna tanpa hak akses meraih kendali root penuh hanya dengan skrip Python 732 byte. Skor CVSS-nya 7,8 (Tinggi).

Q: Distribusi Linux apa saja yang rentan terhadap CVE-2026-31431?
A: Hampir semua distribusi Linux dengan kernel rilis 2017 hingga versi yang sudah diperbaiki terdampak, termasuk Ubuntu 24.04 LTS, Red Hat Enterprise Linux 10.1, SUSE 16, Amazon Linux 2023, Debian, Fedora, dan Arch Linux.

Q: Apakah CVE-2026-31431 bisa dieksploitasi dari jarak jauh?
A: Tidak secara langsung. CVE-2026-31431 membutuhkan akses lokal sebagai pengguna tanpa hak akses. Namun menjadi sangat berbahaya jika dirantai dengan vektor akses awal seperti SSH, eksekusi job CI berbahaya, atau pijakan kontainer yang sudah disusupi.

Q: Bagaimana cara menambal atau memitigasi CVE-2026-31431?
A: Terapkan patch kernel terbaru dari vendor distribusi segera. Jika patch belum tersedia, nonaktifkan pembuatan soket AF_ALG, terapkan isolasi jaringan, atau perketat kontrol akses. Periksa log sistem untuk tanda-tanda eksploitasi dalam 24 jam pertama.

Q: Apakah kerentanan Copy Fail berdampak pada lingkungan Kubernetes?
A: Ya, sangat signifikan. Karena kontainer berbagi cache halaman dengan kernel host, eksploitasi berhasil di satu kontainer bisa merambat ke seluruh node. Ini membuka potensi container escape, kompromi multi-tenant, dan pergerakan lateral di seluruh klaster Kubernetes.