Badan Keamanan Siber dan Infrastruktur AS (CISA) baru saja mengambil langkah darurat dengan memasukkan kerentanan Linux ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (Known Exploited Vulnerabilities / KEV). Peringatan ini dikeluarkan menyusul adanya bukti eksploitasi aktif di dunia nyata (in the wild).

Kerentanan yang dilacak sebagai CVE-2026-31431 (Skor CVSS: 7.8) ini dijuluki "Copy Fail". Ini adalah cacat Peningkatan Hak Istimewa Lokal (Local Privilege Escalation / LPE) yang memungkinkan pengguna biasa tanpa hak akses khusus untuk mengambil alih sistem secara total sebagai Root. Ironisnya, cacat logika ini telah bersembunyi di dalam kernel Linux selama sembilan tahun, terakumulasi secara bertahap melalui tiga pembaruan kode yang secara individual tampak tidak berbahaya pada tahun 2011, 2015, dan 2017.

Para peneliti dari Theori dan Xint mengungkapkan bahwa Copy Fail berakar pada kesalahan logika dalam templat kriptografi autentikasi kernel Linux.

Baca Juga: Spyware "Morpheus" Retas Android dan Bajak WhatsApp via Jebakan Pemulihan Sinyal

Metodologi serangannya sangat elegan sekaligus mematikan. Hanya dengan menggunakan skrip Python sederhana berukuran 732-byte, peretas dapat mengorupsi page cache dalam memori (in-memory) dari file apa pun yang dapat dibaca, termasuk biner setuid yang krusial.

"Karena page cache mewakili versi memori dari file yang dapat dieksekusi, memodifikasinya secara efektif akan mengubah biner pada saat eksekusi tanpa pernah menyentuh diska keras (disk)," jelas tim riset Wiz.

Rantai Serangan (Kill Chain) menurut Microsoft Defender:

1. Pengintaian: Mengidentifikasi host atau kontainer Linux dengan versi kernel yang rentan.
2. Pijakan Awal: Mengeksekusi eksploitasi dari konteks hak istimewa rendah (misalnya via SSH yang diretas atau beban kerja CI/CD).
3. Eksekusi Timpa (Overwrite): Eksploitasi melakukan penimpaan 4-byte yang terkendali di page cache kernel.
4. Pengambilalihan Total: Proses penyerang langsung diekskalasi menjadi UID 0 (Root).

Dominasi Linux di lingkungan Cloud membuat CVE-2026-31431 menjadi ancaman sistemik. Kaspersky menyoroti bahwa kerentanan ini sangat berbahaya bagi arsitektur kontainerisasi seperti Docker, LXC, dan Kubernetes.

Secara default, sistem ini memberikan akses proses di dalam kontainer ke subsistem AF_ALG jika modul algif_aeaddimuat ke dalam kernel host. Ini berarti Copy Fail dapat digunakan oleh peretas untuk menjebol isolasi kontainer (Container Escape) dan mengambil kendali penuh atas mesin fisik utama (Host Node).

Lebih buruk lagi, serangan ini sangat sulit dideteksi oleh mesin keamanan tradisional karena hanya menggunakan panggilan sistem (system calls) yang sah, tanpa memerlukan teknik yang berisik seperti race conditions. CISA telah menginstruksikan seluruh agensi sipil federal AS untuk menerapkan patch paling lambat 15 Mei 2026.

Sebagai praktisi yang berfokus pada Red Teaming dan Penetration Testing, kami di Fourtrezz selalu menekankan prinsip "Assume Breach" (Asumsikan Anda Telah Diretas). Kerentanan Copy Fail adalah contoh sempurna mengapa postur ini sangat kritis.

Banyak organisasi merasa aman karena celah ini bersifat "Lokal" (AV:L), yang berarti peretas harus sudah berada di dalam sistem untuk mengeksploitasinya. Namun, di era Cloud modern, mendapatkan pijakan lokal tingkat rendah sangatlah mudah—mulai dari kredensial aplikasi web yang bocor, kerentanan pada aplikasi pihak ketiga, hingga penyusupan melalui pekerjaan pipeline CI/CD.

Begitu pijakan rendah itu didapat, Copy Fail bertindak sebagai "kunci pas" yang langsung mengubah penyusup biasa menjadi Root absolut. Mengingat kode eksploitasi (Proof-of-Concept) kini sudah beredar luas dalam bahasa Python, Go, dan Rust, waktu untuk memitigasi celah ini sangat sempit.

Rekomendasi Taktis Jangka Pendek dari Fourtrezz:

1. Akselerasi Patching Kernel: Segera perbarui kernel Linux Anda ke versi yang telah ditambal (6.18.22, 6.19.12, atau 7.0). Prioritaskan Node Worker pada kluster Kubernetes Anda, karena di sinilah workload publik berjalan.
2. Mitigasi Profil Seccomp/AppArmor: Jika pembaruan kernel tidak dapat langsung dilakukan tanpa merusak uptime produksi (SLA), terapkan profil komputasi aman (Seccomp) atau AppArmor untuk memblokir atau membatasi akses ke modul kriptografi algif_aead dari dalam kontainer yang tidak memerlukan fungsi tersebut.

Keamanan Cloud tidak bisa hanya mengandalkan dinding luar. Jika fondasi kernel di bawahnya keropos, seluruh arsitektur kontainer di atasnya akan runtuh.