Kerentanan eskalasi hak istimewa lokal yang baru-baru ini ditambal di modul rxgk kernel Linux kini memiliki eksploitasi bukti konsep yang memungkinkan penyerang mendapatkan akses root pada beberapa sistem Linux.
Dinamakan DirtyDecrypt dan juga dikenal sebagai DirtyCBC, kelemahan keamanan ini juga ditemukan secara mandiri dan dilaporkan oleh tim keamanan V12 awal bulan ini, ketika pengelola memberi tahu mereka bahwa itu adalah duplikat yang telah ditambal di jalur utama.
“Kami menemukan dan melaporkan hal ini pada tanggal 9 Mei 2026, namun diberitahu bahwa itu adalah duplikat oleh pengelola,” kata V12. “Ini adalah penulisan pagecache rxgk karena penjaga COW tidak ada di rxgk_decrypt_skb. Lihat poc.c untuk lebih jelasnya.”
Meskipun tidak ada ID CVE resmi yang terkait dengan kelemahan keamanan ini, menurut Will Dormann (kepala analis kerentanan di Tharros), informasi dari peneliti keamanan sejalan dengan rincian CVE-2026-31635yang ditambal pada tanggal 25 April.
Eksploitasi yang berhasil memerlukan menjalankan kernel Linux dengan Opsi konfigurasi CONFIG_RXGKyang memungkinkan RxGK dukungan keamanan untuk klien Andrew File System (AFS) dan transportasi jaringan.
Hal ini membatasi permukaan serangan pada distribusi Linux yang mengikuti rilis kernel upstream terbaru, termasuk Fedora, Arch Linux, dan openSUSE Tumbleweed. Namun, eksploitasi bukti konsep V12 hanya diuji terhadap Fedora dan kernel Linux arus utama.
DirtyDecrypt termasuk dalam kelas kerentanan yang sama dengan beberapa kelemahan eskalasi root lainnya yang diungkapkan dalam beberapa minggu terakhir, termasuk Pecahan Kotor, FragnesiaDan Salin Gagal.
Pengguna Linux di distro yang berpotensi terpengaruh oleh DirtyDecrypt disarankan untuk menginstal pembaruan kernel terbaru sesegera mungkin.
Namun, mereka yang tidak dapat segera menambal perangkatnya harus menggunakan mitigasi yang sama dengan yang digunakan untuk Dirty Frag (namun, ini juga akan merusak sistem file jaringan terdistribusi IPsec VPN dan AFS):
sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
Pengungkapan ini mengikuti laporan terbaru bahwa sekarang ada penyerang secara aktif mengeksploitasi kerentanan Copy Fail di alam liar.
Badan Keamanan Siber dan Infrastruktur (CISA) ditambahkan Copy Gagal ke nya daftar kelemahan yang dieksploitasi dalam serangan pada tanggal 1 Mei dan memerintahkan lembaga federal untuk mengamankan perangkat Linux mereka dalam waktu dua minggu, paling lambat tanggal 15 Mei.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan terhadap perusahaan federal,” badan keamanan siber AS memperingatkan.
Pada bulan April, Distro Linux meluncurkan tambalan untuk kerentanan eskalasi root-privilege lainnya (dijuluki Pack2TheRoot) di daemon PackageKit yang luput dari perhatian selama hampir 12 tahun.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
