Peneliti keamanan telah menerbitkan eksploitasi terperinci yang berfungsi penuh untuk mengatasi kerentanan use-after-free pada kernel Linux. Celah ini secara fatal memungkinkan pengguna lokal tanpa hak istimewa (unprivileged) untuk meningkatkan aksesnya menjadi root dan keluar dari batas isolasi kontainer. Kerentanan yang dilacak sebagai CVE-2026-23111 ini terletak di dalam kode penyaringan paket nf_tables dan perbaikan hulunya (upstream) telah dirilis pada 5 Februari 2026.

Exodus Intelligence merilis panduan teknis yang komprehensif terkait hal ini pada tanggal 8 Juni. Publikasi detail ini menyusul reproduksi independen yang sebelumnya telah diterbitkan oleh FuzzingLabs pada bulan April.

Akar dari kelemahan sistem ini sangat terpusat. Kerentanan ini disebabkan oleh satu karakter yang menyimpang berupa pemeriksaan terbalik di dalam nf_tables, di mana perbaikan hulu hanya memerlukan penghapusan satu baris kode tersebut. Ubuntu mengklasifikasikan kerentanan ini dengan skor keparahan CVSS 7.8, atau berada pada kategori tinggi.

Baca Juga: Operasi Takedown Global, Koalisi Raksasa Teknologi dan Penegak Hukum Hancurkan Markas Scam Asia Tenggara

Eksploitasi ini membutuhkan pengaturan sistem yang sangat umum ditemui: fitur nf_tables yang dikombinasikan dengan unprivileged user namespaces. Fitur Linux ini memungkinkan akun biasa untuk bertindak sebagai root di dalam kotak pasir pribadi (private sandbox) dan menjangkau kode kernel yang pada kondisi normal tidak dapat diakses. Kedua fitur tersebut aktif secara default pada sebagian besar konfigurasi desktop dan banyak sistem server.

Meskipun kerentanan ini tidak memiliki vektor serangan jarak jauh secara langsung, cacat ini menjadi sangat berbahaya ketika penyerang telah memiliki pijakan awal di dalam sistem. Penyerang dapat mengubah shell berhak istimewa rendah, kontainer yang telah diretas, atau akun layanan biasa menjadi root secara penuh pada host.

Oliver Sieber, peneliti dari Exodus yang menemukan bug ini pada awal 2025, sukses merangkai kerentanan ini menjadi eksploitasi root lokal. Serangan tersebut memicu use-after-free, mengakali perlindungan memori bawaan kernel, mengambil alih eksekusi untuk memberikan hak root, dan menghancurkan pembatas namespace kontainer. Demonstrasi serangan ini terbukti berhasil pada Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS, dan Ubuntu 24.04 LTS. Di sisi lain, FuzzingLabs juga mereproduksi bug ini secara berbeda pada RHEL 10 sebelum acara Pwn2Own Berlin 2026.

CVE-2026-23111 hadir di tengah lonjakan masif dari pengungkapan kerentanan Peningkatan Hak Istimewa Lokal (LPE) pada ekosistem Linux. Dalam beberapa minggu terakhir, lanskap keamanan dihebohkan oleh rilis kerentanan Copy Fail, rantai Dirty Frag, varian Fragnesia, DirtyDecrypt, hingga cacat ptrace berusia sembilan tahun yang secara leluasa dapat membaca fail /etc/shadow dan menjalankan perintah sebagai root.

Firma keamanan Synacktiv mengaitkan kecepatan penemuan eksploitasi secara beruntun ini dengan penggunaan riset berbantuan Kecerdasan Buatan (AI) dan teknik pembandingan patch (patch-diffing). Teknologi ini secara efektif memungkinkan peretas untuk mempublikasikan eksploitasi yang berfungsi jauh sebelum perbaikan resmi tersebar secara luas di berbagai instansi. Hingga saat ini, belum ada laporan publik mengenai eksploitasi aktif (in the wild) dan belum ada aktor ancaman spesifik yang dikaitkan dengan pemanfaatan kerentanan ini.

Gelombang eksploitasi LPE pada Linux memberikan sinyal bahaya bagi arsitektur keamanan korporasi modern. Dalam ekosistem komputasi awan (cloud) dan klaster hibrida, batas batas logis antara "pengguna berhak istimewa rendah" dan "administrator host" kini semakin mudah ditembus.

Langkah Taktis Operasional yang Direkomendasikan:

1. Pembaruan Segera (Patching): Jika paket kernel distribusi organisasi Anda belum mencakup perbaikan ini, instruksi utamanya adalah segera perbarui dan lakukan reboot. Perbaikan ini telah dilacak dan disediakan oleh berbagai distribusi utama termasuk Ubuntu (untuk versi 22.04, 24.04, dan 25.10), Debian (Bookworm dan Trixie, beserta backport untuk Bullseye LTS), Red Hat, SUSE, dan Amazon Linux.
2. Pemangkasan Fitur Bawaan (Hardening): Sebagian besar cacat LPE bersandar pada fitur opsional kernel atau pengaturan default yang longgar. Menutup akses pengguna yang tidak memiliki hak istimewa—dalam kasus ini dengan membatasi penggunaan user namespaces—akan mampu menahan jalannya eksploitasi secara efektif setidaknya hingga proses peluncuran perbaikan (patching) selesai dilakukan ke seluruh perangkat.

Keamanan pada arsitektur kontainer tidak boleh dipandang sebagai perimeter yang sepenuhnya kedap udara. Modifikasi tingkat sistem operasi harus dilakukan dengan mengadopsi postur pertahanan di mana penyusupan pada satu simpul tidak serta-merta mengekspos infrastruktur penyokongnya.