Pengantar

Linux dikenal sebagai sistem operasi yang stabil dan aman. Namun, seperti software lainnya, Linux Kernel juga dapat memiliki celah keamanan yang berbahaya. Pada tahun 2026, komunitas keamanan kembali dikejutkan dengan munculnya dua kerentanan Local Privilege Escalation (LPE) baru yang dikenal dengan nama Dirty Frag.

Kerentanan ini memiliki kode:

  • CVE-2026-43284
  • CVE-2026-43500

Dirty Frag menjadi perhatian besar karena memungkinkan pengguna biasa mendapatkan akses root tanpa perlu mengetahui password administrator.

Vulnerability ini dianggap mirip dengan kerentanan terkenal sebelumnya seperti:

  • Dirty Pipe
  • Dirty COW

Namun Dirty Frag menggunakan teknik yang lebih kompleks dengan memanfaatkan:

  • page cache
  • zero-copy mechanism
  • fragment buffer networking Linux

Apa Itu Dirty Frag?

Dirty Frag adalah teknik eksploitasi Linux Kernel yang memungkinkan penyerang menulis data ke page cache file yang seharusnya hanya bisa dibaca (read-only).

Secara sederhana, penyerang dapat:

  1. Membuka file sistem penting
  2. Memanipulasi memory kernel
  3. Mengubah isi file di RAM
  4. Mendapatkan akses root

Hal menarik dari exploit ini adalah:

  • file asli di harddisk tidak berubah
  • perubahan hanya terjadi di memori (RAM)
  • sangat sulit dideteksi

Memahami Konsep Penting di Linux Kernel

Agar lebih mudah memahami Dirty Frag, kita perlu mengenal beberapa konsep dasar Linux Kernel.

1. Page Cache

Linux menggunakan page cache untuk mempercepat akses file.

Ketika file dibaca:

  • kernel menyimpan isi file di RAM
  • proses lain dapat menggunakan cache tersebut
  • akses file menjadi lebih cepat

Contoh:
Saat menjalankan /usr/bin/su, Linux tidak selalu membaca ulang dari harddisk. Kernel sering menggunakan versi yang sudah ada di RAM.

Masalahnya:
jika page cache berhasil dimodifikasi, maka semua proses akan menggunakan versi yang sudah diubah oleh attacker.

2. Copy-on-Write (CoW)

Linux memiliki mekanisme keamanan bernama Copy-on-Write.

Tujuannya:

  • mencegah proses mengubah file read-only secara langsung
  • kernel akan membuat salinan baru jika ada perubahan

Namun pada Dirty Frag, mekanisme ini berhasil dilewati.

3. Zero-Copy

Zero-copy adalah teknik optimasi Linux untuk memindahkan data tanpa perlu menyalin buffer berkali-kali.

Salah satu fungsi yang digunakan:

splice()

Teknik ini mempercepat networking dan file transfer.

Tetapi pada Dirty Frag, fitur ini justru dimanfaatkan untuk menyerang kernel.

4. struct sk_buff

Linux networking menggunakan struktur data bernama:

struct sk_buff

Fungsinya:

  • menyimpan packet jaringan
  • menyimpan fragment data
  • menangani buffer networking

Dirty Frag memanfaatkan fragment buffer ini untuk menulis ke page cache.

Analisis CVE-2026-43284

Bug pada IPsec ESP

Kerentanan pertama ditemukan pada subsystem:

  • IPsec ESP (Encapsulating Security Payload)

Fungsi rentan:

esp_input()

Bug ini memungkinkan proses dekripsi packet dilakukan langsung pada page cache.

Cara Kerja Eksploitasi

Secara sederhana:

  1. attacker membuat page cache reference
  2. kernel menghubungkan page cache ke fragment networking
  3. proses dekripsi ESP menulis data langsung ke page cache
  4. file sistem berubah di RAM

Akibatnya:
attacker dapat memodifikasi binary penting seperti:

/usr/bin/su

Mendapatkan Root Shell

Penyerang dapat:

  • menyisipkan shellcode
  • memodifikasi ELF binary
  • membuat binary menjalankan shell root

Ketika file dijalankan:

su

attacker langsung mendapatkan akses root.

Analisis CVE-2026-43500

Kerentanan kedua ditemukan pada:

  • RxRPC subsystem

Fungsi rentan:

rxkad_verify_packet_1()

Teknik Eksploitasi

Mirip dengan CVE sebelumnya:

  • attacker memanfaatkan dekripsi packet
  • kernel menulis hasil dekripsi ke page cache

Namun teknik ini lebih sulit karena:

  • membutuhkan manipulasi ciphertext
  • tidak memiliki arbitrary write penuh

Target Serangan

Salah satu target yang umum adalah:

/etc/passwd

Attacker dapat:

  • menghapus karakter password root
  • membuat akun root tanpa password

Contoh:

root::0:0:root:/root:/bin/bash

Akibatnya:
attacker cukup menjalankan:

su root

tanpa password.

Alur Serangan Dirty Frag

Berikut langkah umum exploit Dirty Frag:

1. Membuka file target

Misalnya:

/usr/bin/su

2. Membuat pipe menggunakan splice()

Attacker menggunakan:

splice()

untuk membuat reference ke page cache.

3. Menghubungkan networking fragment

Page cache dihubungkan ke:

struct sk_buff

4. Memicu dekripsi packet

Kernel melakukan dekripsi packet networking.

5. Page cache tertimpa

Hasil dekripsi menulis data ke file target di RAM.

6. Mendapatkan akses root

Binary yang sudah dimodifikasi dijalankan.

Sistem yang Terdampak

Kerentanan ini mempengaruhi:

  • Linux Kernel modern
  • banyak distribusi Linux populer

Contoh:

  • Ubuntu
  • Debian
  • Fedora
  • AlmaLinux
  • CentOS
  • CloudLinux

Environment yang berisiko:

  • server cloud
  • container
  • Kubernetes
  • VPS multi-tenant

Mengapa Dirty Frag Berbahaya?

Ada beberapa alasan mengapa Dirty Frag sangat serius.

1. Tidak Mengubah File di Disk

Perubahan hanya terjadi di RAM.

Akibatnya:

  • antivirus sulit mendeteksi
  • forensik menjadi sulit
  • checksum file tetap normal

2. Local User Bisa Menjadi Root

User biasa dapat memperoleh:

uid=0(root)

3. Risiko Container Escape

Karena bug berada di kernel:

  • container dapat menyerang host
  • semua container lain bisa terdampak

Deteksi Dirty Frag

Beberapa indikator yang bisa dipantau:

Aktivitas splice() yang Tidak Normal

Monitoring syscall:

splice

Aktivitas Networking Mencurigakan

Perhatikan:

  • ESP packet aneh
  • RxRPC traffic abnormal

Monitoring Module Kernel

Module yang perlu diperhatikan:

  • esp4
  • esp6
  • rxrpc

Mitigasi dan Patch

1. Update Kernel

Solusi terbaik:

  • update kernel ke versi terbaru
  • gunakan patch resmi distro

2. Disable Module yang Rentan

Jika tidak digunakan:

sudo sh -c "printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf"

3. Bersihkan Page Cache

Setelah patch:

echo 3 > /proc/sys/vm/drop_caches

4. Hardening Tambahan

Disarankan menggunakan:

  • SELinux
  • AppArmor
  • seccomp
  • eBPF monitoring

Dampak terhadap Cloud dan Container

Dirty Frag sangat berbahaya pada lingkungan cloud karena:

  • semua container berbagi kernel yang sama
  • satu container dapat menyerang host
  • tenant lain dapat terkena dampak

Pada Kubernetes, exploit ini berpotensi:

  • mengambil alih node
  • mencuri secret
  • mengakses container lain

Pelajaran dari Dirty Frag

Kasus ini menunjukkan bahwa:

  • optimasi performa kernel bisa menjadi celah keamanan
  • zero-copy mechanism memiliki risiko besar
  • keamanan kernel sangat kompleks

Dirty Frag juga menunjukkan evolusi bug Linux:

  • Dirty COW
  • Dirty Pipe
  • Dirty Frag

Kesimpulan

Dirty Frag adalah salah satu vulnerability Linux Kernel paling menarik dan berbahaya dalam beberapa tahun terakhir.

Dengan memanfaatkan:

  • page cache
  • zero-copy mechanism
  • fragment networking buffer

attacker dapat:

  • memodifikasi file read-only
  • memperoleh akses root
  • melakukan container escape

Karena exploit bekerja di RAM:

  • deteksi menjadi sulit
  • forensik lebih rumit
  • patching harus dilakukan segera

Administrator Linux disarankan untuk:

  • segera mengupdate kernel
  • memonitor aktivitas mencurigakan
  • melakukan hardening sistem
  • menonaktifkan module yang tidak diperlukan

Keamanan kernel tetap menjadi tantangan besar dalam dunia cybersecurity modern.

Related Posts: