Penjelasan teknis
Cacat logika deterministik dalam subsistem kriptografi kernel Linux (modul algif_aead) memungkinkan penyerang lokal tanpa hak istimewa mencapai eskalasi hak istimewa root dengan merusak page cache kernel bersama. Kerentanan ini mempengaruhi kluster Kubernetes dan platform kontainer, di mana page cache bersama memungkinkan kontainer yang dikompromikan untuk memodifikasi salinan dalam memori dari executable istimewa di host tanpa memicu pemeriksaan integritas file, karena file fisik tetap tidak berubah. CISA menambahkan CVE-2026-31431 ke katalog KEV pada 1 Mei 2026, dengan tenggat waktu remediasi 15 Mei.
Vektor serangan
Eskalasi hak istimewa lokal melalui skrip Python 732-byte yang mengeksploitasi cacat TOCTOU selama operasi kriptografi. Exploit menulis empat byte terkontrol melampaui wilayah buffer yang sah langsung ke dalam page cache file sistem, memungkinkan modifikasi executable yang dipercaya (sudo, su) dalam memori sambil membiarkan file disk tetap utuh. Berfungsi secara deterministik di seluruh distribusi utama tanpa modifikasi.
Sistem yang terdampak
Kernel Linux 4.14 hingga 6.19.12 (2017-2026). Host Linux multi-penyewa, kluster Kubernetes, platform kontainer, pelari CI/CD, dan lingkungan SaaS cloud yang menjalankan kode yang disediakan pengguna menghadapi risiko tertinggi. Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, dan SUSE 16 dikonfirmasi rentan.
Mitigasi
Terapkan pembaruan kernel yang dikeluarkan vendor segera. Solusi sementara: masukkan modul kernel algif_aead ke dalam daftar hitam melalui 'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf' dan jalankan 'rmmod algif_aead'. Microsoft mencatat eksploitasi tetap terbatas pada pengujian proof-of-concept hingga 1 Mei 2026.