CISA Peringatkan Serangan Aktif Eksploitasi Celah Keamanan Android dan Linux

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) merilis peringatan kritis terkait adanya aktivitas peretasan yang mengeksploitasi celah keamanan pada kernel Linux dan sistem operasi Android. Kedua kerentanan tersebut kini telah resmi dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA karena terbukti sedang aktif digunakan dalam serangan di dunia nyata.

Eksploitasi Zero-Click pada Android Framework

Kerentanan terbaru yang ditambahkan ke dalam katalog KEV adalah CVE-2025-48595. Celah keamanan ini merupakan kerentanan berstatus high-severity yang disebabkan oleh integer overflow pada komponen Android Framework. Celah ini sangat berbahaya karena dapat dieksploitasi oleh penyerang untuk meningkatkan hak akses (increased privileges) di dalam sistem target.

Berdasarkan buletin keamanan resmi dari Google, masalah keamanan ini berdampak pada perangkat yang menjalankan sistem operasi Android versi 14 hingga versi 16 terbaru. Karakteristik serangan ini tergolong sangat berbahaya karena bersifat zero-click, alias sama sekali tidak memerlukan interaksi atau kelalaian dari pengguna (no user interaction) agar eksploitasi dapat berhasil berjalan.

Google mengindikasikan bahwa CVE-2025-48595 kemungkinan besar sedang dieksploitasi secara terbatas dan tertarget di luar sana. Kendati demikian, Google belum membagikan rincian spesifik mengenai aktivitas serangan, informasi teknis mendalam tentang cacat sistem tersebut, ataupun detail mengenai insiden yang telah terjadi. Masalah ini kini telah diatasi melalui perilisan patch keamanan Android per Juni 2026 (tingkat patch keamanan 2026-06-01 dan 2026-06-05).

Pelarian Kontainer dan Akses Root pada Ekosistem Linux

Kerentanan kedua yang dimasukkan CISA ke dalam katalog KEV dilacak sebagai CVE-2022-0492. Ini merupakan celah eskalasi hak akses berstatus high-severity yang berdampak pada berbagai cabang kernel Linux lawas hingga modern, mulai dari versi 2.6 hingga 4.20, serta versi 5.5 hingga 5.17.

Cacat keamanan ini bersumber dari fungsi cgroup_release_agent_write() pada subsistem cgroups v1. Akibat kurangnya pemeriksaan otentikasi yang memadai, penyerang lokal dapat menyalahgunakan celah ini untuk melewati isolasi namespace, menaikkan hak istimewa, dan berpotensi meloloskan diri dari pembatasan kontainer (escape from a container) untuk mendapatkan akses tingkat tertinggi (root-level access) pada sistem host utama.

Menurut laporan teknis terdahulu dari firma keamanan Aqua Security dan Palo Alto Networks, masalah ini utamanya berdampak pada lingkungan komputasi berbasis kontainer yang masih menggunakan cgroups v1. Risiko serangan akan menjadi jauh lebih berbahaya apabila kontainer tersebut sejak awal diberikan kapabilitas atau izin akses yang tinggi (elevated capabilities).

Adapun versi kernel Linux yang telah mendapatkan perbaikan resmi untuk mengatasi masalah ini adalah:

• 4.9.301+
• 4.14.266+
• 4.19.229+
• 5.4.177+
• 5.10.97+
• 5.15.20+
• 5.16.6+
• 5.17-rc3+

Batas Waktu Tindakan untuk Infrastruktur Kritis

Dengan dimasukannya kedua celah keamanan ini ke dalam daftar KEV, seluruh lembaga federal Amerika Serikat yang terikat oleh arahan direktif BOD 22-01 diwajibkan untuk segera menerapkan pembaruan keamanan dan langkah mitigasi yang disediakan oleh vendor, atau menghentikan penggunaan perangkat lunak yang terdampak. CISA menetapkan batas waktu ketat untuk kepatuhan ini hingga tanggal 5 Juni.

Meskipun instruksi tersebut ditujukan bagi lembaga pemerintah, katalog KEV juga berfungsi sebagai papan pengumuman darurat bagi entitas infrastruktur kritis serta organisasi skala besar secara umum. Mereka diimbau untuk mengambil tindakan pengamanan terhadap kedua celah ini dengan tingkat urgensi yang sama tinggi.

Sejauh ini, kedua celah keamanan tersebut belum ditandai sebagai alat yang dieksploitasi oleh kelompok pemeras siber (ransomware groups)—sebuah penanda khusus yang biasanya digunakan CISA pada entri KEV untuk menunjukkan tingkat keparahan ekstra dan urgensi penambalan yang lebih darurat.

Sumber: CISA Cyber Alert