CISA Peringatkan Celah ‘Copy Fail’ Dieksploitasi Secara Aktif untuk Meretas Sistem Linux

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mengeluarkan peringatan keras bahwa aktor ancaman mulai mengeksploitasi kerentanan keamanan Linux yang dijuluki “Copy Fail” di alam liar. Peringatan ini muncul hanya satu hari setelah para peneliti dari Theori mengungkapkan celah tersebut dan membagikan eksploitasi proof-of-concept (PoC).

Detail Kerentanan CVE-2026-31431

Dilacak sebagai CVE-2026-31431, kelemahan keamanan kritis ini ditemukan pada antarmuka algoritma kriptografi algif_aead di kernel Linux.

Celah ini memungkinkan pengguna lokal tanpa hak istimewa (unprivileged) untuk mendapatkan hak akses root penuh pada sistem Linux yang belum ditambal. Penyerang hanya perlu menulis empat byte yang dikontrol ke dalam page cache dari file apa pun yang dapat dibaca.

Bagi administrator yang mengelola dan memelihara lingkungan bare-metal server yang memanfaatkan Web Host Manager (WHM), kerentanan kernel tingkat dasar ini merupakan ancaman infrastruktur yang sangat serius. Mengingat lingkungan operasi WHM sepenuhnya bergantung pada distribusi Linux, membiarkan kernel tidak diperbarui sama dengan membuka celah bagi pengguna atau proses lokal yang terkompromi untuk mengambil alih kontrol penuh atas seluruh sistem hosting.

Ancaman Skala Luas Sejak 2017

Para peneliti Theori mengungkapkan kelemahan ini pada hari Kamis dan membagikan skrip eksploitasi berbasis Python yang mereka sebut “100% andal”. Skrip ini telah terbukti mampu melakukan proses root pada berbagai perangkat secara instan, termasuk:

• Ubuntu 24.04 LTS
• Amazon Linux 2023
• RHEL 10.1
• SUSE 16

Yang lebih mengkhawatirkan, Theori menambahkan bahwa skrip yang sama dapat digunakan secara efektif terhadap hampir semua distribusi Linux utama yang dirilis sejak tahun 2017, asalkan masih menggunakan versi kernel yang rentan. “Skrip yang sama, empat distribusi, empat root shell — dalam satu kali pengambilan. Biner eksploitasi yang sama berfungsi tanpa modifikasi pada setiap distribusi Linux,” tegas pihak Theori.

Tenggat Waktu Penambalan dari CISA

Merespons tingkat bahaya yang mengancam banyak infrastruktur penting, pada hari Jumat, CISA resmi menambahkan kerentanan Copy Fail ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi (KEV). CISA memerintahkan lembaga Federal Civilian Executive Branch (FCEB) AS untuk menambal endpoint dan server Linux mereka dalam waktu kurang dari dua minggu, selambat-lambatnya pada 15 Mei 2026.

Meskipun arahan khusus ini hanya berlaku wajib bagi lembaga pemerintah AS, CISA sangat mendesak semua tim keamanan TI dan pengelola server publik untuk segera mengamankan jaringan mereka dengan memprioritaskan patch CVE-2026-31431.

Insiden ini menambah panjang daftar celah kritis di ekosistem Linux, menyusul penambalan kerentanan eskalasi hak istimewa root tingkat keparahan tinggi lainnya bulan lalu (CVE-2026-41651 atau yang dijuluki Pack2TheRoot) yang tersembunyi selama lebih dari satu dekade di dalam daemon PackageKit.