Celah Linux Baru ‘Copy Fail’ Beri Peretas Akses Root di Berbagai Distro Utama
Sebuah eksploitasi baru saja dipublikasikan untuk kerentanan eskalasi hak istimewa lokal (LPE) yang dijuluki “Copy Fail”. Kerentanan tingkat tinggi ini berdampak pada kernel Linux yang dirilis sejak tahun 2017, memungkinkan penyerang lokal tanpa hak istimewa untuk dengan mudah mendapatkan hak akses root secara penuh.
Dilacak sebagai CVE-2026-31431, celah keamanan ini ditemukan oleh perusahaan keamanan ofensif Theori menggunakan platform pengujian penetrasi berbasis AI mereka, Xint Code. Mengejutkannya, mereka menemukan kerentanan tersebut hanya dalam waktu sekitar satu jam setelah memindai subsistem kripto Linux.
Eksploitasi 100% Andal untuk Semua Distro
Theori melaporkan temuan tersebut kepada tim keamanan kernel Linux pada tanggal 23 Maret 2026, dan tambalan resmi tersedia dalam waktu seminggu. Namun, detail teknis dan eksploitasi Proof-of-Concept (PoC) untuk celah tersebut kini telah bocor ke publik.
Meskipun perusahaan keamanan siber tersebut mengembangkan dan menguji eksploitasi berbasis Python pada empat distribusi spesifik (Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, dan SUSE 16), para peneliti mengklaim bahwa skrip berukuran 732-byte buatan mereka secara praktis “memberikan akses root ke setiap distribusi Linux yang dikirimkan sejak tahun 2017.” Tingkat keberhasilan skrip ini diklaim mencapai 100%.
Akar Masalah Copy Fail
Dalam ulasan mendetailnya, para peneliti menjelaskan bahwa Copy Fail pada dasarnya adalah bug logika pada templat kriptografi authencesn milik kernel Linux. Celah ini memungkinkan pengguna yang terautentikasi untuk secara presisi melakukan “penulisan 4-byte ke dalam page cache dari file apa pun yang dapat dibaca pada sistem.”
Secara teknis, dengan menggabungkan antarmuka berbasis soket AF_ALG (yang memberikan akses ke fungsi kripto kernel Linux dari ruang pengguna) dan panggilan sistem splice(), pengguna tanpa hak istimewa dapat memanipulasi penulisan terkontrol tersebut. Jika 4 byte yang dituliskan itu mengenai binary setuid-root, mereka dapat mengubah perilaku file saat dieksekusi, dan akhirnya “menghadiahkan” penyerang hak istimewa root tertinggi di sistem.
Cacat fundamental ini secara tak sengaja diperkenalkan pada tahun 2017 ketika tim kernel Linux menambahkan pengoptimalan “di tempat” (in-place optimization) ke jalur kripto, yang berarti sistem mulai menggunakan kembali buffer yang sama alih-alih menjaga agar input dan output tetap terpisah secara ketat.
Lebih Berbahaya dari Dirty Pipe
Karakteristik kerentanan Copy Fail dinilai mirip dengan celah Dirty Pipe yang sempat menghebohkan, namun jauh lebih andal dan dapat dieksploitasi secara lebih luas daripada sebagian besar bug di kelasnya.
“Copy Fail lebih portabel. Satu skrip, untuk setiap distro, tanpa offsets. Dirty Pipe membutuhkan kernel ≥ 5.8 dengan tambalan khusus; sementara Copy Fail mencakup seluruh jendela waktu dari 2017 hingga 2026,” catat peneliti Theori.
Perbaikan dan Solusi Mitigasi
CVE-2026-31431 telah diperbaiki di hulu (upstream) pada 1 April dengan mengembalikan (reverting) perilaku kripto “in-place” yang bermasalah. Perbaikan tersebut didistribusikan pada kernel versi 6.18.22, 6.19.12, dan 7.0.
Saat ini, distro Linux besar sudah mulai mendorong perbaikan ini melalui pembaruan kernel. Namun, perlu dicatat bahwa beberapa sistem (seperti Fedora 42 dan yang lebih baru) telah menerima pembaruan tetapi tanpa peringatan resmi terkait CVE ini.
Sebagai mitigasi sementara bagi server yang belum dapat menerima atau menerapkan pembaruan kernel, administrator disarankan untuk menonaktifkan modul algif_aead yang rentan dengan menjalankan dua baris perintah berikut:
Bash
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Peneliti Theori juga sangat mendesak agar host Linux multi-penyewa (multi-tenant), klaster Kubernetes/kontainer, runner CI, dan layanan SaaS cloud yang mengeksekusi kode pengguna untuk diprioritaskan dalam upaya penambalan ini.
