DirtyDecrypt PoC Rilis: Ancaman LPE Linux Kernel CVE-2026-31635 Terungkap

Proof-of-concept (PoC) exploit bernama DirtyDecrypt kini telah dirilis untuk mengeksploitasi kerentanan keamanan baru pada kernel Linux yang memungkinkan local privilege escalation (LPE) atau eskalasi hak istimewa secara lokal.

Kerentanan ini dikenal dengan kode CVE-2026-31635 dan ditemukan oleh tim keamanan Zellic dan V12 pada 9 Mei 2026. Namun, pengelola kernel Linux menyatakan bahwa masalah ini merupakan duplikat dari kerentanan yang sebelumnya sudah diperbaiki pada mainline kernel.

Detail Kerentanan DirtyDecrypt pada Linux Kernel

Menurut Luna Tong, salah satu pendiri Zellic, kerentanan ini berasal dari write pada halaman pagecache rxgk akibat tidak adanya perlindungan copy-on-write (COW) pada fungsi rxgk_decrypt_skb(), yang bertugas mendekripsi socket buffer (sk_buff) yang masuk.

"Ini adalah penulisan data ke pagecache rxgk akibat tidak adanya penjagaan COW pada rxgk_decrypt_skb," ujar Luna Tong melalui deskripsi di GitHub.

Fungsi ini mengelola halaman memori yang sebagian dibagikan dengan cache halaman milik proses lain. Linux menggunakan optimasi COW untuk memastikan saat sebuah halaman bersama ditulis, salinan pribadi dibuat terlebih dahulu agar data proses lain tidak terpengaruh. Namun, hilangnya perlindungan COW ini menyebabkan data dapat tertulis langsung ke memori proses yang berhak istimewa atau ke cache halaman file-file penting seperti /etc/shadow, /etc/sudoers, atau biner SUID, sehingga membuka peluang eskalasi hak istimewa lokal.

Dampak dan Lingkup Kerentanan

DirtyDecrypt hanya berdampak pada distribusi Linux dengan opsi CONFIG_RXGK diaktifkan, seperti Fedora, Arch Linux, dan openSUSE Tumbleweed. Dalam lingkungan container, node pekerja yang menjalankan kernel rentan dapat menjadi jalur untuk keluar dari pod container.

Kerentanan ini dikategorikan sebagai varian dari beberapa flaw lain yang juga memungkinkan akses root, di antaranya:

• Copy Fail (CVE-2026-31431)
• Dirty Frag alias Copy Fail 2 (CVE-2026-43284 dan CVE-2026-43500)
• Fragnesia (CVE-2026-46300)

Semua flaw tersebut mengeksploitasi kelemahan pada mekanisme page cache dan AF_ALG cryptographic socket interface yang memungkinkan penyerang lokal memperoleh akses root.

Reaksi Komunitas dan Perkembangan Terbaru

Peneliti keamanan Hyunwoo Kim terpaksa melakukan publikasi terbuka setelah masa embargo berakhir lebih cepat akibat adanya patch yang tergabung pada 5 Mei 2026. Seorang peneliti lain yang tidak mengetahui embargo tersebut menganalisis dan mempublikasikan rincian kerentanan secara independen.

"Saya membaca commit, mengenali jalur no-COW pada MSG_SPLICE_PAGES ESP-in-UDP sebagai primitif LPE, dan membangun PoC," kata peneliti dengan alias online 0xdeadbeefnetwork dan afflicted.sh. "Ini adalah weaponisasi n-day dari commit publik, yang merupakan praktik standar setelah perbaikan keamanan dirilis ke publik."

Selain DirtyDecrypt, baru-baru ini juga ditemukan kerentanan LPE lain di daemon PackageKit Linux (CVE-2026-41651 alias Pack2TheRoot) dengan skor CVSS 8.8, serta masalah manajemen hak istimewa kernel (CVE-2026-46333 alias ssh-keysign-pwn) yang memungkinkan pembacaan rahasia milik root seperti kunci SSH pribadi.

Berbagai distribusi Linux seperti AlmaLinux, Amazon Linux, Fedora, Red Hat, dan Ubuntu sudah mengeluarkan advisori keamanan terkait CVE-2026-46333.

Inovasi Mitigasi: Killswitch Kernel dan Repositori Keamanan Rocky Linux

Menanggapi gelombang kerentanan ini, pengembang kernel Linux mempertimbangkan usulan killswitch darurat yang memungkinkan administrator menonaktifkan fungsi kernel rentan secara runtime sebagai mitigasi sementara sebelum patch resmi tersedia.

"Killswitch memungkinkan operator berprivilege untuk membuat fungsi kernel tertentu mengembalikan nilai tetap tanpa mengeksekusi isi fungsi itu, sebagai mitigasi sementara sebelum perbaikan nyata disiapkan," jelas pengembang kernel Sasha Levin.

Selain itu, Rocky Linux memperkenalkan repositori keamanan opsional yang memungkinkan distribusi ini mengirimkan perbaikan keamanan mendesak dengan cepat, terutama saat kerentanan berat diumumkan sebelum patch upstream tersedia.

"Repositori ini nonaktif secara default agar pengalaman Rocky Linux tetap stabil dan kompatibel upstream. Administrator dapat mengaktifkannya jika membutuhkan perbaikan cepat," jelas tim Rocky Linux.

Namun, repositori ini bukan pengganti proses rilis reguler dan hanya untuk kasus khusus dengan exploit dan patch upstream belum tersedia.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan DirtyDecrypt dan serangkaian flaw terkait menunjukkan ada pola serius dalam pengelolaan keamanan kernel Linux, khususnya pada subsistem kriptografi dan manajemen memori. Hilangnya perlindungan dasar seperti COW pada fungsi penting membuktikan bahwa optimasi performa terkadang mengorbankan aspek keamanan yang fundamental.

Situasi ini berpotensi membuka risiko besar terutama bagi distribusi populer dan lingkungan container yang semakin banyak digunakan oleh perusahaan. Langkah darurat seperti killswitch kernel dan repositori patch cepat Rocky Linux menjadi a game-changer dalam mitigasi risiko jangka pendek, namun tidak boleh menjadi alasan untuk melambatkan perbaikan mendalam dan audit kode yang lebih ketat.

Ke depan, pengguna Linux sangat disarankan untuk segera melakukan pembaruan kernel dan memonitor advisori keamanan. Selain itu, komunitas pengembang harus terus mengembangkan mekanisme proteksi yang lebih kuat dan transparan agar exploit seperti DirtyDecrypt tidak mudah terulang.

Untuk informasi lebih lengkap dan update terkini, baca langsung sumber aslinya di The Hacker News dan ikuti channel resmi distribusi Linux terkait.