CISA Menambahkan Bug Root Access Linux yang Secara Aktif Dimanfaatkan CVE-2026-31431 ke Katalog KEV

Bug logika berusia sembilan tahun dalam template kriptografi autentikasi kernel Linux (subsistem AF_ALG) memungkinkan pengguna lokal tanpa hak istimewa untuk memicu penulisan terkontrol yang deterministik sebesar 4 byte ke dalam cache halaman file yang dapat dibaca di sistem. Korrupsi ini memungkinkan penyerang menyuntikkan kode ke dalam binari berkeistimewaan (misalnya, /usr/bin/su) dan mendapatkan hak istimewa root. Kerentanan, yang dijuluki 'Copy Fail,' diperkenalkan melalui tiga perubahan terpisah yang secara individual tidak berbahaya pada kernel Linux yang dilakukan pada tahun 2011, 2015, dan 2017. CISA menambahkan kerentanan ke katalog Known Exploited Vulnerabilities-nya pada 1 Mei 2026, dengan bukti eksploitasi aktif di alam liar.

Memerlukan akses lokal dengan hak istimewa rendah (misalnya, SSH, kontainer yang dikompromikan, atau eksekusi pekerjaan CI berbahaya) tetapi tidak memerlukan interaksi pengguna. Exploit Python berukuran 732 byte tersedia secara publik, dengan versi Go dan Rust sudah terdeteksi di repositori open-source. Serangan ini sangat andal, menggunakan hanya system calls yang sah, dan tetap tidak terlihat oleh sistem deteksi endpoint tradisional. Dalam lingkungan kontainerisasi, kerentanan memungkinkan container escape jika kernel host memiliki modul algif_aead yang dimuat (default di Docker, LXC, Kubernetes).

Semua distribusi Linux yang dikirimkan sejak 2017 (kernel dengan commit optimasi memori spesifik). Dampak kritis pada infrastruktur AI/ML menggunakan workload terkontainerisasi (Docker, Kubernetes) dan lingkungan pelatihan/inferensi berbasis cloud. Kaspersky mencatat risiko khusus pada lingkungan AI terkontainerisasi di mana proses tanpa hak istimewa di dalam kontainer dapat memanfaatkan kernel host untuk mendapatkan kontrol mesin fisik.

Patch untuk versi kernel Linux 6.18.22, 6.19.12, atau 7.0. CISA mengharuskan badan Federal Civilian Executive Branch untuk melakukan remediasi pada 15 Mei 2026. Jika patching tidak segera dilakukan, nonaktifkan subsistem AF_ALG, implementasikan isolasi jaringan, dan terapkan kontrol akses yang ketat. Microsoft Defender Security Research Team melaporkan melihat aktivitas pengujian awal yang menunjukkan peningkatan eksploitasi pelaku ancaman dalam beberapa hari mendatang.