CISA Menambahkan Bug Root Access Linux yang Aktif Dieksploitasi CVE-2026-31431 ke Katalog KEV

Bug logika berusia sembilan tahun dalam template kriptografi autentikasi kernel Linux (subsistem AF_ALG) memungkinkan pengguna lokal tanpa privilege untuk memicu penulisan 4-byte yang deterministik dan terkontrol ke dalam cache halaman dari file apa pun yang dapat dibaca di sistem. Korrupsi ini memungkinkan penyerang untuk menyuntikkan kode ke dalam binary yang diprivilese (misalnya, /usr/bin/su) dan mendapatkan privilege root. Kerentanan, yang dijuluki 'Copy Fail,' diperkenalkan melalui tiga perubahan kernel Linux terpisah yang masing-masing tidak berbahaya yang dilakukan pada 2011, 2015, dan 2017. CISA menambahkan kerentanan ke katalog Known Exploited Vulnerabilities-nya pada 1 Mei 2026, dengan mengutip bukti eksploitasi aktif di lapangan.

Memerlukan akses lokal dengan privilege rendah (misalnya, SSH, container yang dikompromikan, atau eksekusi CI job berbahaya) tetapi tidak memerlukan interaksi pengguna. Exploit Python berukuran 732-byte tersedia untuk publik, dengan versi Go dan Rust sudah terdeteksi di repositori open-source. Serangan ini sangat andal, menggunakan hanya system call yang sah, dan tetap tidak terlihat oleh sistem deteksi endpoint tradisional. Di lingkungan containerized, kerentanan memungkinkan container escape jika kernel host memiliki modul algif_aead yang dimuat (default di Docker, LXC, Kubernetes).

Semua distribusi Linux yang dikirim sejak 2017 (kernel dengan commit optimisasi memori spesifik). Dampak kritis pada infrastruktur AI/ML menggunakan workload containerized (Docker, Kubernetes) dan lingkungan training/inference berbasis cloud. Kaspersky mencatat risiko khusus untuk lingkungan AI containerized di mana proses tanpa privilege di dalam container dapat memanfaatkan kernel host untuk mendapatkan kontrol mesin fisik.

Patch ke versi kernel Linux 6.18.22, 6.19.12, atau 7.0. CISA mengharuskan badan Federal Civilian Executive Branch untuk melakukan remedisasi pada 15 Mei 2026. Jika patching tidak segera dilakukan, nonaktifkan subsistem AF_ALG, implementasikan isolasi jaringan, dan terapkan kontrol akses yang ketat. Tim Penelitian Keamanan Microsoft Defender melaporkan melihat aktivitas pengujian awal yang menunjukkan peningkatan eksploitasi aktor ancaman selama hari-hari mendatang.