Penjelasan teknis
Sebuah cacat logika deterministik dalam subsistem kriptografi kernel Linux (modul algif_aead) memungkinkan penyerang lokal tanpa hak istimewa untuk mencapai eskalasi privilege root dengan merusak cache halaman kernel bersama. Kerentanan ini memengaruhi kluster Kubernetes dan platform kontainer, di mana cache halaman bersama memungkinkan kontainer yang dikompromikan untuk memodifikasi salinan in-memory dari executable berprivilese pada host tanpa memicu pemeriksaan integritas file, karena file fisik tetap tidak berubah. CISA menambahkan CVE-2026-31431 ke katalog KEV pada 1 Mei 2026, dengan tenggat waktu remediasi 15 Mei.
Vektor serangan
Eskalasi privilege lokal melalui skrip Python 732-byte yang mengeksploitasi cacat TOCTOU selama operasi kriptografi. Exploit ini menulis empat byte terkontrol melampaui wilayah buffer yang sah langsung ke dalam cache halaman file sistem, memungkinkan modifikasi executable tepercaya (sudo, su) di memori sambil membiarkan file disk tetap utuh. Bekerja secara deterministik di seluruh distribusi utama tanpa modifikasi.
Sistem yang terdampak
Kernel Linux 4.14 hingga 6.19.12 (2017-2026). Host Linux multi-tenant, kluster Kubernetes, platform kontainer, CI/CD runner, dan lingkungan cloud SaaS yang menjalankan kode yang disediakan pengguna memiliki risiko tertinggi. Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, dan SUSE 16 dikonfirmasi rentan.
Mitigasi
Terapkan update kernel yang dikeluarkan vendor segera. Solusi sementara: blacklist modul kernel algif_aead melalui 'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf' dan jalankan 'rmmod algif_aead'. Microsoft mencatat bahwa eksploitasi tetap terbatas pada pengujian proof-of-concept per 1 Mei 2026.