Dalam kurun dua minggu, Linux kembali diguncang celah keamanan kritis. Setelah "Copy Fail" yang baru saja dipublikasikan pekan lalu, kini muncul "Dirty Frag" — kerentanan eskalasi hak akses yang memungkinkan pengguna tanpa hak istimewa merebut akses root pada hampir semua distribusi Linux utama. Yang memperparah situasi: kode eksploit (PoC) sudah beredar secara publik, dan Microsoft melaporkan adanya indikasi percobaan eksploitasi di lingkungan nyata.
Apa Itu Dirty Frag dan Bagaimana Cara Kerjanya
Dirty Frag diungkap oleh peneliti keamanan Hyunwoo Kim tak lama setelah pekan lalu. Namun, sebelum patch sempat disebarluaskan, pihak ketiga membocorkan detail teknisnya — memaksa Kim sendiri untuk merilis kode sumber PoC yang ia kembangkan. Kode eksploit yang bocor dilaporkan telah beredar daring sejak tiga hari lalu.
Serangan ini menggabungkan dua kerentanan pada kernel Linux secara berantai:
- CVE-2026-43284 (CVSS 8.8 — HIGH): Terdapat pada jalur penerimaan IPsec ESP, tepatnya di fungsi
esp_input(), yang menarget proses esp4 dan esp6. - CVE-2026-43500 (CVSS 7.8 — HIGH): Terdapat pada fungsi
rxkad_verify_packet_1(), menarget komponen RxRPC.
Kedua kerentanan berakar pada cara kernel mengelola page cache di memori. Dengan memanfaatkan fungsi splice(), penyerang dapat menyisipkan referensi ke page cache yang seharusnya hanya bisa dibaca — seperti /etc/passwd atau /usr/bin/su — ke dalam slot frag pada struktur kernel sk_buff. Ketika kernel penerima melakukan pemrosesan kriptografi pada frag tersebut, isi page cache di RAM dapat ditimpa. Akibatnya, penyerang yang hanya memiliki hak baca pun bisa membuat sistem "melihat" versi file yang telah dimanipulasi.
Perlu dicatat, Dirty Frag termasuk dalam keluarga bug yang sama dengan "Dirty Pipe" (2022) dan "Copy Fail", namun dengan target serangan yang berbeda: bukan pipe_buffer, melainkan anggota frag pada struktur sk_buff.
Mengapa Eksploit Ini Sangat Berbahaya
Faktor yang membuat Dirty Frag menonjol dibanding celah serupa adalah sifatnya yang deterministik — eksploit menghasilkan perilaku yang sama setiap kali dijalankan, tanpa bergantung pada kondisi race condition yang sempit atau kerusakan memori yang tidak stabil. Selain itu, eksploit ini tidak memicu crash sistem, sehingga aktivitas penyerangan sulit terdeteksi.
Microsoft secara khusus menyoroti hal ini:
"Dirty Frag memperkenalkan beberapa jalur serangan kernel yang melibatkan komponen jaringan rxrpc dan esp/xfrm, sehingga meningkatkan keandalan eksploit. Alih-alih bergantung pada jendela waktu yang sempit atau kondisi korupsi yang tidak stabil — yang kerap ditemui pada eskalasi hak akses lokal Linux — Dirty Frag tampaknya dirancang untuk konsistensi di seluruh lingkungan yang rentan."
Microsoft juga mengonfirmasi telah mengamati pola serangan nyata: akses SSH dari luar → pembuatan shell interaktif → penerapan binary ELF (./update) → eskalasi hak akses via su.
Sementara itu, peneliti dari Aviatrix menegaskan bahwa organisasi harus segera menerapkan patch dan mitigasi, mengingat PoC sudah dapat diakses publik dan terdapat indikasi eksploitasi terbatas di lingkungan produksi.
Lingkungan Mana yang Paling Berisiko
Dua kerentanan ini secara terpisah memiliki keterbatasan. Pada sebagian konfigurasi Ubuntu, AppArmor dapat memblokir pembuatan namespace oleh pengguna yang tidak dipercaya, sehingga menonaktifkan jalur serangan ESP. Banyak distribusi juga tidak memuat modul rxrpc.ko secara default, yang menutup jalur RxRPC. Namun, ketika keduanya digabungkan, Kim berhasil membuktikan bahwa eskalasi root dapat dicapai pada semua distribusi utama yang ia uji.
Lingkungan yang paling rentan antara lain:
- Server berbagi pakai (shared hosting / multi-tenant): Pengguna dengan hak akses rendah yang berbagi satu server memiliki peluang eksploitasi tertinggi.
- Virtual machine (VM): Risiko lebih besar dibanding container yang telah diperkuat.
- VPS dengan akses SSH untuk pengguna umum: Sesuai dengan pola serangan yang dikonfirmasi Microsoft.
Sebaliknya, menurut laporan Ars Technica yang mengutip peneliti Wiz (anak perusahaan Google), container yang diperkuat dengan pengaturan keamanan default — seperti Kubernetes dengan profil seccomp — kemungkinan kecil dapat ditembus eksploit ini untuk melakukan container escape. Meski demikian, lingkungan dengan konfigurasi yang lebih longgar tetap berisiko tinggi.
Perlu dicatat pula bahwa celah ini sudah ada sejak lama: komponen xfrm-ESP Page-Cache Write telah hadir sejak 2017, sementara RxRPC Page-Cache Write sejak 2023 — artinya kernel yang dirilis dalam sembilan tahun terakhir berpotensi terdampak.
Status Patch dan Langkah Mitigasi
Kedua kerentanan telah diperbaiki di mainline kernel Linux:
- CVE-2026-43284 → commit
f4c50a4034e6 - CVE-2026-43500 → commit
aa54b1d27fe0
Kerentanan ini dilaporkan ke pengelola kernel Linux pada 30 April 2026.
Untuk distribusi spesifik, berikut status terkini pada saat artikel ini ditulis:
| Distribusi | Status |
|---|---|
| Debian | Patch produksi tersedia |
| AlmaLinux | Patch produksi tersedia |
| Fedora | Patch produksi tersedia |
| Distribusi lainnya | Periksa saluran resmi masing-masing |
Khusus untuk AlmaLinux 8, hanya CVE-2026-43284 yang berdampak. AlmaLinux 9 dan 10 terdampak CVE-2026-43500 hanya jika paket kernel-modules-partner terpasang. Red Hat telah menerbitkan advisory RHSB-2026-003, termasuk konfirmasi dampak pada OpenShift Container Platform 4, dengan opsi mitigasi sementara melalui kernel module blacklist tanpa perlu reboot node.
Yang terpenting: mitigasi yang diterapkan untuk "Copy Fail" — yakni blacklist modul algif_aead — tidak melindungi dari Dirty Frag. Sistem yang sudah menerapkan mitigasi tersebut tetap rentan.
Bagi administrator sistem Linux di Indonesia, baik yang mengelola VPS, server on-premise, maupun infrastruktur cloud berbasis Linux, pembaruan kernel harus diprioritaskan segera. Jika pembaruan langsung belum memungkinkan karena jadwal maintenance, terapkan mitigasi sementara yang disediakan oleh vendor distribusi masing-masing sambil menunggu jendela pemeliharaan berikutnya.
