CISA: Celah Berbahaya di Linux Kini Dieksploitasi oleh Geng Ransomware
Badan Keamanan Siber dan Infrastruktur AS (CISA) mengonfirmasi bahwa kerentanan serius di kernel Linux kini sedang dieksploitasi secara aktif oleh geng ransomware. Celah tersebut dilacak sebagai CVE-2024-1086, dan memungkinkan penyerang mendapatkan hak akses root penuh pada sistem yang terinfeksi.
🧩 Detail Kerentanan CVE-2024-1086
CVE-2024-1086 adalah bug “use-after-free” di komponen kernel netfilter: nf_tables, yang merupakan bagian penting dari subsistem firewall dan filtering pada Linux.
Kerentanan ini:
- Pertama kali diperkenalkan sejak Februari 2014 melalui commit lama,
- Diumumkan secara publik pada 31 Januari 2024,
- Dan diperbaiki melalui commit kernel resmi pada Januari 2024.
Dengan mengeksploitasi bug ini, penyerang lokal dapat meningkatkan hak akses (privilege escalation) hingga root, yang memberi mereka kemampuan untuk:
- Menonaktifkan mekanisme pertahanan sistem,
- Memodifikasi atau menghapus file penting,
- Menginstal malware tambahan, atau
- Bergerak lateral ke sistem lain dalam jaringan.
💻 Distribusi Linux yang Terpengaruh
Kerentanan ini berdampak pada sebagian besar distribusi Linux populer yang menggunakan kernel versi 3.15 hingga 6.8-rc1, termasuk:
- Debian
- Ubuntu
- Fedora
- Red Hat Enterprise Linux (RHEL)
Artinya, jutaan sistem server dan perangkat berbasis Linux berpotensi rentan jika belum menerapkan patch terbaru.
🔓 Eksploitasi Aktif oleh Geng Ransomware
CISA memperbarui daftar Known Exploited Vulnerabilities (KEV) pada Kamis, mengonfirmasi bahwa ransomware gang kini telah memanfaatkan celah ini dalam serangan nyata.
Walau CISA tidak menyebutkan kelompok spesifik yang terlibat, beberapa laporan komunitas keamanan menunjukkan peningkatan serangan ransomware terhadap server Linux dan container cloud sejak pertengahan 2025, termasuk varian Black Basta, Akira, dan LockBit 3.0 yang kini menargetkan sistem berbasis Linux.
⚙️ Eksploitasi Dipermudah oleh PoC Publik
Pada Maret 2024, peneliti keamanan dengan alias “Notselwyn” merilis proof-of-concept (PoC) di GitHub, lengkap dengan analisis teknis mendalam dan cara mengeksploitasi bug ini pada kernel Linux versi 5.14 hingga 6.6.
Tak lama kemudian, kode tersebut digunakan oleh berbagai aktor ancaman untuk membangun ransomware berbasis Linux.
🛡️ Langkah Mitigasi yang Disarankan
Jika sistem belum dapat diperbarui, CISA dan pakar keamanan merekomendasikan langkah mitigasi berikut:
- Nonaktifkan atau blokir modul
nf_tablesjika tidak digunakan. - Batasi akses ke user namespaces untuk mengurangi permukaan serangan.
- Gunakan modul Linux Kernel Runtime Guard (LKRG) sebagai perlindungan tambahan — namun perhatikan bahwa modul ini dapat menyebabkan ketidakstabilan pada sistem tertentu.
“Kerentanan seperti ini sering menjadi vektor utama bagi pelaku siber berbahaya dan menimbulkan risiko besar terhadap sistem pemerintahan dan perusahaan,” tulis CISA.
🔍 Kesimpulan
Eksploitasi aktif CVE-2024-1086 menyoroti kerentanan mendasar dalam keamanan kernel Linux, bahkan setelah bertahun-tahun digunakan di berbagai infrastruktur penting.
Dengan bukti eksploitasi nyata oleh geng ransomware, administrator sistem disarankan segera memperbarui kernel Linux atau menerapkan mitigasi sementara sebelum serangan meluas.
Sumber: CISA, Immersive Labs, Trend Micro
