Tim peneliti keamanan dari V12 Security Team secara resmi merilis kode bukti eksploitasi (Proof-of-Concept – PoC) untuk kerentanan peningkatan hak akses lokal (Local Privilege Escalation – LPE) terbaru pada sistem operasi Linux yang dijuluki “PinTheft”. Celah keamanan ini memungkinkan penyerang lokal dengan hak akses pengguna standar (standard user) untuk melompati proteksi pertahanan dan mendapatkan akses kontrol penuh tingkat tertinggi (Root Privileges) pada sistem terdampak.
Kerentanan kritis ini bersarang di dalam komponen tata kelola jaringan RDS (Reliable Datagram Sockets) pada kernel Linux. Meskipun perbaikan kode (patch) fungsional telah digulirkan oleh komunitas pengembang kernel pada awal Mei 2026 ini, celah ini terpantau masih mengantre untuk mendapatkan alokasi nomor registrasi identifikasi CVE resmi.
Mekanisme Teknis PinTheft: Eksploitasi Double-Free via io_uring
Berdasarkan laporan teknis dari V12, celah PinTheft terjadi akibat adanya cacat logika pembersihan memori pada jalur pengiriman data tanpa penyalinan (zerocopy send path) di dalam modul RDS kernel:
- Kegagalan Pinning Halaman: Fungsi
rds_message_zcopy_from_user()bertugas menyematkan (pinning) halaman memori pengguna satu per satu. Jika terjadi kesalahan pembacaan (page fault) pada halaman berikutnya, sistem masuk ke jalur penanganan eror (error path) dan melepaskan halaman yang sudah tersemat. - Kondisi Double-Free: Karena entri data dan hitungan daftar hamburan (scatterlist entries) tetap aktif setelah penanda dibersihkan, proses pembersihan pesan RDS berikutnya akan melepaskan halaman memori yang sama untuk kedua kalinya (double-free condition). Setiap kegagalan pengiriman data zerocopy akan mencuri satu referensi dari halaman pertama.
- Injeksi via
io_uring: Eksploitasi PoC yang dirilis V12 bekerja dengan mencuri referensiFOLL_PINsecara konstan hingga API I/O Linux bernamaio_uringmemegang penunjuk halaman yang dicuri (stolen page pointer). Hal ini memicu kondisi penulisan ulang tembolok halaman (page-cache overwrite) melalui buffer tetapio_uring, yang akhirnya membukakan pintu bagi kemunculan root shell.
Batasan Serangan: Arch Linux Menjadi Target Paling Rentan
Kabar baik bagi administrator server enterprise, celah PinTheft membutuhkan kondisi lingkungan yang sangat spesifik untuk dapat dieksploitasi dengan sukses. Penyerang memerlukan empat parameter utama:
- Modul kernel RDS harus aktif dan termuat (loaded).
- Fitur Linux I/O API
io_uringdalam kondisi aktif (enabled). - Tersedia berkas biner berstatus SUID-root yang dapat dibaca oleh pengguna biasa.
- Perangkat target menggunakan arsitektur x86_64 untuk mengeksekusi payload.
Kondisi spesifik ini secara drastis mempersempit wilayah permukaan serangan (attack surface). Dari sekian banyak distribusi Linux populer di pasar (seperti Ubuntu, Debian, atau RHEL), hanya Arch Linux yang secara bawaan mengaktifkan (enabled by default) modul kernel RDS tersebut.
Langkah Mitigasi Darurat: Blokir Modul RDS
Bagi para pengguna atau pengelola server Arch Linux yang belum sempat melakukan pembaruan versi kernel ke rilis terbaru, Anda dapat mengisolasi dan memblokir celah eksploitasi PinTheft secara instan dengan mematikan fungsi modul RDS secara paksa.
Jalankan rangkaian perintah berikut di dalam terminal dengan hak akses administratif:
Bash
# Menghapus modul RDS yang sedang berjalan di memori
sudo rmmod rds_tcp rds
# Memasukkan modul ke dalam daftar hitam (blacklist) konfigurasi modprobe
printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' | sudo tee /etc/modprobe.d/pintheft.conf
Langkah ini akan memaksa sistem menolak pemuatan modul RDS secara sepihak, memutus total vektor serangan PinTheft tanpa mengganggu stabilitas fungsi OS lainnya.
Gelombang Kerentanan Root Escalation Linux di Tahun 2026
Penemuan PinTheft memperpanjang daftar kelam rentetan badai celah keamanan lokal root escalation yang mengguncang ekosistem Linux sepanjang paruh pertama tahun 2026:
- DirtyDecrypt & DirtyCBC: Eksploitasi PoC untuk kelas kerentanan ini baru saja bocor ke publik akhir pekan lalu, berbagi rumpun kelas bug yang sama dengan celah ternama terdahulu seperti Dirty Frag, Fragnesia, dan Copy Fail.
- Ancaman Eksploitasi Aktif “Copy Fail”: Badan Keamanan Siber dan Infrastruktur AS (CISA) secara resmi memasukkan celah Copy Fail ke dalam katalog kerentanan yang aktif dieksploitasi di dunia nyata per 1 Mei kemarin, dan memerintahkan seluruh lembaga pemerintahan untuk mengamankan sistem Linux mereka dalam tempo dua minggu.
- Pack2TheRoot: Bulan lalu, komunitas juga dikejutkan oleh perbaikan celah peningkatan hak akses root pada daemon PackageKit yang kedapatan telah bersembunyi tanpa terdeteksi selama lebih dari satu dekade.