Eksploitasi zero-day Linux baru, bernama Dirty Frag, memungkinkan penyerang lokal mendapatkan hak akses root pada sebagian besar distribusi Linux utama dengan satu perintah.
Peneliti keamanan Hyunwoo Kim, siapa diungkapkan hari ini dan menerbitkan eksploitasi proof-of-concept (PoC), mengatakan eskalasi hak istimewa lokal ini diperkenalkan sekitar sembilan tahun yang lalu di antarmuka algoritma kriptografi algif_aead kernel Linux.
Pecahan Kotor bekerja dengan merangkai dua kelemahan kernel yang terpisah, kerentanan xfrm-ESP Page-Cache Write dan kerentanan RxRPC Page-Cache Write, untuk memodifikasi file sistem yang dilindungi di memori tanpa otorisasi dan mencapai peningkatan hak istimewa.
Selain itu, Dirty Frag termasuk dalam kelas yang sama dengan Pipa Kotor Dan Salin Gagal Kerentanan Linux, ia mengeksploitasi bidang fragmen dari struktur data kernel yang berbeda.
“Seperti kerentanan Copy Fail sebelumnya, Dirty Frag juga memungkinkan peningkatan hak akses root langsung pada semua distribusi utama, dan itu
rantai dua memisahkan kerentanan,” kata Kim.
“Dirty Frag adalah kasus yang memperluas kelas bug yang mencakup Dirty Pipe dan Copy Fail. Karena ini adalah bug logika deterministik yang tidak bergantung pada jendela waktu, tidak diperlukan kondisi balapan, kernel tidak panik ketika eksploitasi gagal, dan tingkat keberhasilannya sangat tinggi.”
Peningkatan hak istimewa kernel ini mempengaruhi berbagai distro Linux, termasuk Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed, dan Fedora, yang belum menerima patch.
Kim dibebaskan menyelesaikan dokumentasi Dirty Frag dan eksploitasi PoC dengan perjanjian pengelola distribusi setelah embargo pengungkapan publik penuh dilanggar pada tanggal 7 Mei 2026, ketika pihak ketiga yang tidak terkait secara independen mempublikasikan eksploitasi tersebut.
“Karena embargo saat ini telah dilanggar, tidak ada patch atau CVE. Setelah berkonsultasi dengan pengelola di linux-distros@vs.openwall.org dan atas permintaan mereka, dokumen Dirty Frag ini dipublikasikan,” kata Kim.
Untuk mengamankan sistem dari serangan, pengguna Linux dapat menggunakan perintah berikut untuk menghapus modul kernel esp4, esp6, dan rxrpc yang rentan (namun, penting untuk dicatat bahwa ini akan merusak sistem file jaringan terdistribusi IPsec VPN dan AFS):
sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Pengungkapan zero-day baru ini terjadi ketika pengelola distro Linux masih meluncurkan patch untuk “Salin Gagal,” kerentanan eskalasi hak root lainnya sekarang dieksploitasi secara aktif dalam serangan.
CISA ditambahkan Copy Gagal ke nya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui Jumat lalu, memerintahkan lembaga federal untuk mengamankan perangkat Linux mereka dalam waktu dua minggu, paling lambat tanggal 15 Mei.
“Jenis kerentanan ini merupakan vektor serangan yang sering dilakukan oleh pelaku siber jahat dan menimbulkan risiko signifikan terhadap perusahaan federal,” badan keamanan siber AS memperingatkan pada saat itu. “Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Pada bulan April, Distro Linux ditambal kerentanan eskalasi root-privilege lainnya (dijuluki Pack2TheRoot) yang ditemukan setelah satu dekade sejak diperkenalkan di daemon PackageKit.
Pembaruan 08 Mei, 09:58 EDT: Keduanya cache halaman menulis kerentanan yang dirantai oleh Dirty Frag sekarang dilacak dengan ID CVE berikut: xfrm-ESP telah ditetapkan CVE-2026-43284dan RxRPC ya sekarang CVE-2026-43500.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
