Berita Terbaru

Bug Linux Copy Fail Memungkinkan Akses Root Tanpa Izin

Ilustrasi Linux OS

Ilustrasi Linux OS

Dunia keamanan siber kembali dihebohkan dengan temuan celah serius pada sistem operasi Linux. Kerentanan yang diberi nama Copy Fail ini disebut-sebut mampu membuka jalan bagi pengguna biasa untuk memperoleh akses root atau administrator penuh—hak tertinggi dalam sistem Linux.

Celah keamanan ini dilacak dengan kode CVE-2026-31431 dan memiliki tingkat keparahan tinggi dengan skor CVSS 7,8. Temuan ini diungkap oleh peneliti dari perusahaan keamanan Xint.io dan Theori, yang menyebut bahwa bug ini berpotensi berdampak luas pada berbagai distribusi Linux modern.

 

Pengguna Biasa Bisa Jadi Admin

Dalam penjelasannya, tim peneliti mengungkap bahwa celah ini memungkinkan pengguna lokal tanpa hak khusus untuk memanipulasi bagian penting dalam sistem yang disebut page cache. Dengan teknik tertentu, pelaku bisa menyisipkan data ke dalam file sistem yang sebenarnya tidak mereka miliki akses penuh.

“Seorang pengguna lokal tanpa hak khusus dapat menulis empat byte yang dikendalikan ke dalam page cache dari file apa pun yang dapat dibaca di sistem Linux, lalu memanfaatkannya untuk mendapatkan akses root,” ujar tim peneliti.

Artinya, siapa pun yang memiliki akses ke mesin Linux—meski hanya sebagai pengguna biasa—berpotensi meningkatkan hak aksesnya menjadi administrator penuh. Ini tentu menjadi ancaman serius, terutama bagi server atau sistem multi-user.

 

Berasal dari Bug Lama Sejak 2017

Menariknya, akar masalah dari kerentanan ini ternyata bukan hal baru. Bug tersebut berasal dari kesalahan logika dalam subsistem kriptografi kernel Linux, tepatnya pada modul bernama algif_aead. Masalah ini sudah ada sejak perubahan kode yang dilakukan pada Agustus 2017.

Dengan kata lain, celah ini telah “bersembunyi” selama bertahun-tahun tanpa disadari, dan kini baru ditemukan serta dipublikasikan.

Yang lebih mengkhawatirkan, eksploitasi bug ini tergolong sangat sederhana. Peneliti menyebut bahwa hanya dengan skrip Python kecil berukuran sekitar 732 byte, penyerang sudah bisa menjalankan aksinya.

Kerentanan ini melibatkan komponen bernama authencesn, yang dirangkai melalui mekanisme AF_ALG dan fungsi splice(). Kombinasi ini memungkinkan penyerang menulis empat byte yang dikendalikan ke dalam page cache dari file apa pun yang dapat dibaca.

“Seorang pengguna tanpa hak khusus dapat menulis data ke page cache file sistem, lalu memanfaatkannya untuk mendapatkan akses root,” ungkap tim peneliti.

 

Cara Kerja Eksploitasi

Secara garis besar, serangan ini memanfaatkan mekanisme komunikasi kernel melalui socket kriptografi. Pelaku akan membuka koneksi khusus, lalu menyusun payload berisi kode berbahaya (shellcode).

Selanjutnya, payload tersebut disisipkan ke dalam cache file sistem penting seperti /usr/bin/su, yaitu program yang digunakan untuk berpindah ke pengguna root. Setelah dimodifikasi, program tersebut dijalankan kembali sehingga kode berbahaya ikut dieksekusi dengan hak akses penuh.

Teknik ini terbilang cerdas karena tidak langsung mengubah file di disk, melainkan memanipulasi cache yang digunakan kernel. Hal ini membuat serangan lebih sulit dideteksi oleh sistem keamanan tradisional.

 

Tidak Bisa Remote, Tapi Tetap Berbahaya

Meski celah ini tidak dapat dieksploitasi secara langsung dari jarak jauh (remote), risikonya tetap tinggi. Sebab, dalam banyak skenario, penyerang hanya membutuhkan akses awal sebagai pengguna biasa—yang bisa diperoleh melalui berbagai cara seperti kredensial bocor atau akses terbatas ke sistem.

Lebih dari itu, kerentanan ini juga berdampak pada container environment. Karena page cache digunakan bersama oleh berbagai proses dalam sistem, serangan dapat melintasi batas container, membuka peluang eskalasi serangan di lingkungan cloud atau server modern.

Tak hanya itu, Copy Fail juga disebut mampu melewati mekanisme sandboxing, yang selama ini digunakan untuk membatasi akses aplikasi terhadap sistem.

 

Hampir Semua Distribusi Terdampak

Celah ini dilaporkan memengaruhi hampir semua distribusi Linux yang dirilis sejak 2017. Beberapa di antaranya meliputi:

  • Ubuntu 24.04 LTS
  • Amazon Linux 2023
  • Red Hat Enterprise Linux (RHEL) 10.1
  • SUSE 16

Distribusi lain seperti Debian, Arch Linux, Fedora, Rocky Linux, AlmaLinux, hingga Oracle Linux juga berpotensi terdampak jika menggunakan kernel dari periode rentan.

 

Mirip Kasus “Dirty Pipe”

Kerentanan Copy Fail disebut memiliki kemiripan dengan kasus Dirty Pipe (CVE-2022-0847) yang sempat menghebohkan beberapa tahun lalu. Dirty Pipe juga memungkinkan pengguna tanpa hak istimewa untuk memodifikasi file yang seharusnya hanya bisa dibaca.

Namun, Copy Fail terjadi di bagian sistem yang berbeda, yakni subsistem kriptografi kernel. Meski berbeda lokasi, keduanya memiliki pola serangan yang serupa, yaitu memanfaatkan page cache untuk menyisipkan data berbahaya.

Menurut David Brumley dari Bugcrowd, optimasi kode yang dilakukan pada 2017 justru membuka celah baru. Perubahan tersebut memungkinkan data cache masuk ke struktur kernel yang dapat ditulisi, sehingga bisa dimanfaatkan oleh proses tanpa hak istimewa.

Salah satu alasan mengapa Copy Fail dianggap sangat berbahaya adalah kombinasi karakteristiknya yang jarang ditemukan dalam satu kerentanan:

  • Portabel: bekerja di banyak distribusi Linux
  • Ringkas: eksploit hanya sekitar 732 byte
  • Stealthy: sulit terdeteksi oleh sistem keamanan
  • Lintas container: berdampak pada lingkungan virtualisasi

Perwakilan Xint.io menyebut bahwa kerentanan ini memungkinkan akun dengan hak akses paling rendah sekalipun untuk langsung menjadi administrator sistem.

 

Eksploit Sudah Tersedia, Patch Jadi Kunci

Proof-of-Concept (PoC) untuk Copy Fail telah dipublikasikan, memungkinkan tim keamanan menguji apakah sistem mereka rentan. Meski perubahan hanya terjadi di cache dan tidak permanen setelah reboot, akses root yang diperoleh tetap nyata dan berbahaya.

Langkah utama yang direkomendasikan adalah segera memperbarui kernel Linux ke versi yang telah mengandung patch perbaikan. Patch tersebut diketahui menghapus optimasi lama pada modul algif_aead yang menjadi sumber kerentanan.

Jika patch belum dapat diterapkan, administrator dapat mengambil langkah mitigasi dengan menonaktifkan modul algif_aead.Menariknya, sebagian besar sistem tidak akan terdampak secara signifikan karena banyak aplikasi modern menggunakan library kriptografi di level pengguna (userspace), bukan melalui AF_ALG .

Namun, beberapa aplikasi khusus atau sistem embedded mungkin mengalami perubahan performa.

Perlindungan Tambahan
Untuk lingkungan berisiko tinggi seperti container atau sandbox, disarankan untuk memblokir pembuatan socket  AF_ALG menggunakan mekanisme keamanan seperti seccomp, bahkan setelah patch diterapkan.

 

Pentingnya Update Sistem

Kasus Copy Fail menjadi pengingat bahwa bahkan kesalahan kecil dalam kode kernel dapat berdampak besar terhadap keamanan global. Linux yang selama ini dikenal stabil dan aman pun tidak luput dari risiko.

Bagi pengguna dan administrator sistem, langkah paling penting saat ini adalah segera melakukan pembaruan sistem begitu patch resmi tersedia. Selain itu, membatasi akses pengguna lokal dan memperketat kontrol keamanan juga menjadi langkah mitigasi yang disarankan.

Dengan semakin kompleksnya sistem modern, ancaman seperti Copy Fail menunjukkan bahwa keamanan siber harus selalu menjadi prioritas utama—bahkan untuk platform yang sudah lama dipercaya sekalipun.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait