Celah “Pack2TheRoot” Baru Beri Peretas Akses Root pada Sistem Linux

Sebuah kerentanan baru yang dijuluki Pack2TheRoot terdeteksi dapat dieksploitasi dalam daemon PackageKit. Celah keamanan ini memungkinkan pengguna Linux lokal untuk menginstal atau menghapus paket sistem dan pada akhirnya mengambil alih izin root secara penuh.

Dilacak sebagai CVE-2026-41651, kerentanan ini menerima peringkat keparahan tinggi dengan skor 8,8 dari 10. Mengejutkannya, celah ini ternyata telah bersembunyi selama hampir 12 tahun di dalam daemon PackageKit—sebuah layanan latar belakang yang bertugas mengelola instalasi, pembaruan, dan penghapusan perangkat lunak di berbagai sistem operasi Linux.

Informasi awal terkait kerentanan ini telah dipublikasikan pada awal minggu ini bersamaan dengan peluncuran PackageKit versi 1.3.5 yang menambal masalah tersebut. Demi alasan keamanan dan untuk memberikan waktu agar pembaruan tersebar luas, detail teknis dan kode eksploitasi Proof-of-Concept (PoC) tidak diungkapkan ke publik.

Akar Masalah dan Bantuan AI dalam Penemuan

Penyelidikan yang dilakukan oleh Red Team Deutsche Telekom mengungkap bahwa penyebab bug tersebut terletak pada mekanisme yang digunakan PackageKit untuk menangani permintaan manajemen paket.

Secara khusus, para peneliti menemukan bahwa perintah seperti pkcon install ternyata dapat dieksekusi tanpa memerlukan proses autentikasi dalam kondisi tertentu pada sistem Fedora, yang memungkinkan mereka untuk menginstal paket sistem secara bebas.

Fakta menarik lainnya, para peneliti menggunakan alat kecerdasan buatan (AI) Claude Opus untuk mengeksplorasi lebih jauh potensi dari perilaku sistem yang tidak wajar ini, yang pada akhirnya berujung pada penemuan CVE-2026-41651.

Dampak pada Distribusi Linux

Tim peneliti telah melaporkan temuan mereka ke Red Hat dan pengelola PackageKit pada 8 April. Menurut buletin keamanan proyek tersebut, kerentanan ini telah ada sejak PackageKit versi 1.0.2 (dirilis pada November 2014) dan memengaruhi semua versi hingga 1.3.4.

Pengujian yang dilakukan oleh para peneliti telah mengonfirmasi bahwa penyerang dapat mengeksploitasi CVE-2026-41651 di beberapa distribusi Linux berikut:

• Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta)
• Ubuntu Server 22.04 – 24.04 (LTS)
• Debian Desktop Trixie 13.4
• RockyLinux Desktop 10.1
• Fedora 43 Desktop
• Fedora 43 Server

Meskipun demikian, daftar di atas tidaklah lengkap. Sistem operasi distribusi Linux apa pun yang terinstal dengan PackageKit dan diaktifkan secara bawaan (out-of-the-box) harus dianggap berpotensi rentan terhadap serangan ini.

Langkah Mitigasi dan Pengecekan Sistem

Pengguna Linux sangat disarankan untuk segera memperbarui perangkat mereka ke PackageKit versi 1.3.5 sesegera mungkin. Anda juga harus memastikan bahwa perangkat lunak lain yang menggunakan paket tersebut sebagai dependensinya telah dialihkan ke rilis yang aman.

Untuk memeriksa apakah Anda memiliki versi PackageKit yang rentan terinstal di sistem, Anda dapat menjalankan perintah terminal berikut:

• dpkg -l | grep -i packagekit
• rpm -qa | grep -i packagekit

Selanjutnya, untuk memeriksa apakah daemon PackageKit tersedia dan berjalan di sistem, gunakan perintah systemctl status packagekit atau pkmon. Jika layanan berjalan dan menggunakan versi lama, sistem Anda berada dalam risiko.

Meskipun detail eksploitasi di alam liar belum dibagikan, peneliti mencatat bahwa ada tanda kuat yang menunjukkan kompromi sistem. Eksploitasi bug ini akan menyebabkan daemon PackageKit mengalami kegagalan asersi (assertion failure) dan mogok (crash). Bahkan jika systemd berhasil memulihkan daemon tersebut, kerusakan ini tetap dapat diamati di dalam log sistem.