Kerentanan DirtyClone di Kernel Linux: Cara Lokal Dapatkan Akses Root Lewat Paket Kloning

DirtyClone adalah celah keamanan baru di kernel Linux yang memungkinkan pengguna lokal memperoleh hak akses root dengan memanipulasi paket jaringan yang dikloning. Kerentanan ini tergolong dalam keluarga DirtyFrag dan diberi kode CVE-2026-43503 dengan skor CVSS 8.8, yang menunjukkan tingkat keparahan tinggi.

Bagaimana DirtyClone Bekerja

Peneliti keamanan dari JFrog Security Research mempublikasikan demo eksploitasi DirtyClone pada tanggal 25 Juni 2026, menjadi varian pertama yang didemonstrasikan secara publik. Pada dasarnya, ketika kernel Linux menyalin paket jaringan secara internal, dua fungsi pembantu menghapus sebuah flag penting yang menandai bahwa memori paket tersebut dibagi dengan file di disk.

Flag yang hilang ini menjadi titik lemah utama. Penyerang kemudian memuat sebuah binary yang memiliki hak istimewa, seperti /usr/bin/su, ke dalam memori, lalu menghubungkan halaman memori tersebut ke paket jaringan yang akan dikloning. Paket hasil kloning kemudian dikirim melalui terowongan IPsec yang dikendalikan oleh penyerang.

Selama proses dekripsi IPsec, data binary yang berisi pemeriksaan login diubah dengan byte yang dipilih oleh penyerang. Akibatnya, ketika binary su dijalankan berikutnya, ia memberikan akses root tanpa pemeriksaan yang benar.

Yang menarik, file binary asli di disk tidak pernah diubah. Modifikasi hanya terjadi di memori kernel sehingga alat pemeriksa integritas file tidak mendeteksinya, tidak ada jejak audit yang tertinggal, dan reboot sistem akan mengembalikan binary ke kondisi semula — namun penyerang sudah memiliki akses root sebelum hal itu terjadi.

Syarat Eksploitasi dan Sistem yang Terpengaruh

Eksploitasi DirtyClone membutuhkan kemampuan CAP_NET_ADMIN untuk mengonfigurasi terowongan IPsec loopback. Pada distribusi seperti Debian dan Fedora, namespace pengguna tanpa hak istimewa diaktifkan secara default sehingga pengguna lokal dapat memperoleh kemampuan tersebut dalam namespace baru.

Berbeda dengan itu, Ubuntu 24.04 dan versi lebih baru membatasi pembuatan namespace melalui AppArmor, sehingga jalur eksploitasi default ini terblokir. Namun, karena page cache dibagi pada level host, modifikasi yang dilakukan dalam sebuah namespace tetap berdampak pada semua proses di mesin tersebut.

Target utama dari kerentanan ini adalah server multi-tenant, CI runners, host container, dan klaster Kubernetes yang memungkinkan pengguna tidak terpercaya membuat namespace. JFrog telah mengonfirmasi keberhasilan eksploitasi di sistem Debian, Ubuntu, dan Fedora dengan konfigurasi namespace default.

Serangkaian Kerentanan Berkelanjutan

DirtyClone merupakan kerentanan keempat dalam seri yang terkait dengan kegagalan penanganan memori file-backed yang diperlakukan sebagai data paket. Dalam kasus ini, operasi jaringan yang seharusnya menyalin data malah menulis langsung ke memori tersebut.

1. Copy Fail (CVE-2026-31431) ditemukan pada akhir April, memanfaatkan modul algif_aead untuk menulis empat byte ke page cache.
2. DirtyFrag (CVE-2026-43284 dan CVE-2026-43500) terungkap pada 7 Mei, memanfaatkan jalur IPsec ESP dan RxRPC untuk mendapatkan kemampuan menulis penuh ke memori.
3. Fragnesia (CVE-2026-46300) muncul pada 13 Mei, melewati patch DirtyFrag melalui bug yang menghapus flag pada fungsi skb_try_coalesce().
4. DirtyClone (CVE-2026-43503) baru-baru ini, berfokus pada fungsi __pskb_copy_fclone() dan skb_shift(), dengan patch yang juga menutup jalur serangan lain terkait pemindahan fragmen paket.

Masalah mendasar bukan hanya fungsi helper yang salah, melainkan kontrak pemrograman yang dilanggar: setiap jalur kode yang memindahkan fragmen paket harus menjaga flag shared-frag agar tidak hilang.

Kernel Linux memanfaatkan zero-copy networking yang memungkinkan memori file-backed berperan sebagai data paket, sehingga kehilangan flag pada satu titik saja mengubah optimasi kinerja menjadi celah penulisan berbahaya.

Solusi dan Rekomendasi

Pembaruan kernel yang memperbaiki kerentanan ini sudah dirilis sejak 21 Mei dan telah diterapkan di banyak distribusi, termasuk Ubuntu, Debian, SUSE, dan Red Hat. Jika Anda belum memperbarui kernel, sangat disarankan untuk segera melakukan update ke versi terbaru yang mengandung perbaikan ini.

Untuk sementara, ada dua solusi mitigasi yang bisa diterapkan jika patch belum bisa dipasang:

• Membatasi pembuatan namespace pengguna tanpa hak istimewa dengan mengatur kernel.unprivileged_userns_clone=0 pada Debian dan Ubuntu.
• Blacklist modul kernel esp4, esp6, dan rxrpc. Namun, langkah ini akan menonaktifkan fitur IPsec dan AFS, serta hanya efektif jika modul-modul tersebut dimuat secara dinamis.

Kedua langkah ini hanya pengendalian sementara, bukan solusi permanen.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan DirtyClone dan rangkaian eksploitasi terkait menandakan tantangan serius dalam pengelolaan keamanan kernel Linux, terutama pada fitur zero-copy networking yang mengutamakan performa. Kontrak pemrograman yang terabaikan dalam pengelolaan flag memori shared-frag membuka peluang eksploitasi berbahaya yang hampir tidak terdeteksi oleh sistem keamanan tradisional.

Hal ini menggarisbawahi perlunya audit kode yang lebih ketat dan menyeluruh, terutama terhadap fungsi-fungsi yang memanipulasi fragmen paket di kernel. Selain itu, konfigurasi default sistem operasi yang mengizinkan namespace tanpa hak istimewa harus dievaluasi ulang untuk mencegah eskalasi hak akses lokal yang mudah.

Ke depan, pengguna dan administrator sistem harus proaktif mengikuti pembaruan keamanan dan menerapkan mitigasi yang disarankan untuk menghindari potensi serangan yang dapat mengakibatkan kompromi sistem secara penuh. Perhatian khusus harus diberikan pada lingkungan multi-tenant dan container yang rentan terhadap eksploitasi semacam ini.

Untuk informasi lebih lanjut dan pembaruan terkini, Anda dapat membaca sumber aslinya di The Hacker News dan mengikuti perkembangan melalui saluran berita teknologi terpercaya.