Dunia keamanan siber Linux kembali dihentakkan oleh kemunculan eksploitasi Proof-of-Concept (PoC) untuk kerentanan Local Privilege Escalation (LPE) terbaru yang dinamakan “DirtyDecrypt” (atau dikenal juga sebagai DirtyCBC). Celah keamanan ini memungkinkan penyerang lokal dengan hak akses rendah untuk melompat dan mendapatkan otoritas tertinggi sebagai root pada sistem yang rentan.
Celah ini ditemukan secara independen dan dilaporkan oleh tim keamanan V12 awal bulan ini. Namun, pengelola mainline kernel mengonfirmasi bahwa laporan tersebut merupakan duplikat dari celah yang sudah ditambal sebelumnya.
Mekanisme Kerja: Masalah Cache pada Modul RxGK
Secara teknis, DirtyDecrypt mengeksploitasi cacat desain pada modul rxgk di dalam kernel Linux, khususnya pada fungsi rxgk_decrypt_skb.
- Penyebab: Masalah ini terjadi akibat hilangnya pelindung Copy-on-Write (COW guard) saat melakukan operasi dekripsi. Hal ini memicu terjadinya celah penulisan ilegal pada pagecache milik modul
rxgk. - Korelasi CVE: Meskipun tidak ada kode identifikasi unik baru yang diterbitkan, Will Dormann (analis kerentanan utama dari Tharros) menyatakan bahwa detail teknis DirtyDecrypt ini identik dengan CVE-2026-31635 yang sebenarnya sudah mendapatkan tambalan resmi pada 25 April 2026.
Distribusi yang Terdampak & Batasan Serangan
Kabar baiknya, serangan ini memiliki prasyarat yang cukup spesifik sehingga tidak semua server Linux langsung terancam. Agar eksploitasi berhasil, kernel Linux harus dikompilasi dengan mengaktifkan opsi konfigurasi CONFIG_RXGK. Opsi ini berfungsi untuk mengaktifkan dukungan keamanan RxGK pada klien Andrew File System (AFS) dan transportasi jaringan.
Kondisi ini membatasi dampak serangan pada distribusi Linux yang sangat ketat mengikuti rilis kernel upstream terbaru, seperti:
- Fedora (Kode PoC dari V12 sudah sukses diuji coba pada distro ini)
- Arch Linux
- openSUSE Tumbleweed
Distribusi server enterprise yang cenderung menggunakan kernel stabil versi lama (Long-Term Support / LTS) umumnya memiliki tingkat paparan risiko yang lebih rendah terhadap modul spesifik ini, kecuali jika konfigurasi tersebut diaktifkan secara manual.
Rentetan Celah Keamanan LPE di Kernel Linux
DirtyDecrypt merupakan bagian dari gelombang baru kerentanan eskalasi root yang ditemukan dalam beberapa minggu terakhir. Celah ini berada dalam satu kelas kerentanan yang sama dengan beberapa bug populer lainnya:
- Dirty Frag & Fragnesia: Memanfaatkan kelemahan pada manajemen fragmentasi paket.
- Copy Fail: Celah kritis yang saat ini aktif dieksploitasi di alam liar. CISA bahkan telah memasukkan Copy Fail ke dalam daftar kerentanan berbahaya dan mewajibkan seluruh lembaga federal AS untuk mengamankan perangkat Linux mereka paling lambat 15 Mei 2026.
- Pack2TheRoot: Bug pada daemon PackageKit yang baru terendus setelah bersembunyi selama hampir 12 tahun di berbagai ekosistem distro Linux.
Langkah Mitigasi dan Solusi Darurat
Langkah penanganan utama dan paling aman adalah segera melakukan pembaruan (update) kernel Linux Anda ke versi terbaru yang dirilis setelah akhir April 2026.
Namun, bagi para administrator sistem atau penyedia layanan hosting yang belum bisa melakukan reboot server untuk menerapkan kernel baru, Anda dapat menerapkan skrip mitigasi darurat di bawah ini. Metode ini serupa dengan mitigasi untuk Dirty Frag, yakni dengan memblokir modul jaringan yang memicu kerentanan:
Bash
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
⚠️ PERINGATAN PENTING: Menerapkan perintah mitigasi di atas secara otomatis akan memutuskan fungsi IPsec VPN dan sistem file jaringan terdistribusi AFS (Andrew File System) pada peladen Anda. Pastikan sistem Anda tidak bergantung pada kedua layanan tersebut sebelum mengeksekusi skrip.