Dunia keamanan siber sedang dalam kondisi siaga tinggi. Sebuah celah keamanan baru yang sangat berbahaya ditemukan pada kernel Linux, sistem operasi yang menjadi tulang punggung internet global termasuk di Indonesia.
Eksploitasi yang dinamakan "CopyFail" (CVE-2026-31431) ini memungkinkan pengguna biasa tanpa hak akses khusus untuk naik kasta menjadi administrator atau "root". Dengan akses root, peretas memiliki kendali mutlak untuk membaca semua file, memasang pintu belakang (backdoor), hingga memantau setiap proses yang berjalan di dalam mesin.
Kabar buruknya, kode eksploitasi untuk celah ini sudah tersebar luas di internet sebelum banyak pengembang distribusi Linux sempat merilis pembaruan keamanan kepada penggunanya.
CopyFail bukan sekadar celah keamanan biasa. Peneliti dari firma keamanan Theori merilis kode eksploitasi ini pada Rabu malam waktu setempat, hanya lima minggu setelah melaporkannya secara privat kepada tim keamanan kernel Linux.
Masalah utama terletak pada reliabilitas eksploitasi ini. Berbeda dengan celah keamanan lain yang sering kali gagal karena faktor teknis yang rumit, CopyFail bekerja dengan sangat stabil di berbagai versi Linux tanpa perlu modifikasi kode.
Jorijn Schrijvershof, salah satu peneliti yang terlibat, menjelaskan dampak nyata dari temuan ini. "Seorang penyerang yang sudah memiliki akses untuk menjalankan kode di mesin, bahkan sebagai pengguna biasa yang paling membosankan, dapat mempromosikan diri mereka menjadi root," tulisnya dalam laporan resmi.
Celah ini menyerang logika pada API kripto di dalam kernel Linux. Secara teknis, proses yang disebut authencesn AEAD template gagal menyalin data dengan benar. Alih-alih menyalin, sistem justru menulis data di luar batas memori yang seharusnya, yang kemudian dimanfaatkan peretas untuk mengambil alih sistem.
Beberapa skenario serangan yang sangat mungkin terjadi meliputi:
Para ahli keamanan bahkan menyandingkan CopyFail dengan kerentanan legendaris seperti "Dirty Pipe" (2022) dan "Dirty Cow" (2016). Keduanya dikenal sebagai celah keamanan paling merusak dalam sejarah Linux karena sangat mudah dieksploitasi di lapangan.
Bagi ekosistem digital di Indonesia, ancaman ini sangat relevan. Sebagian besar startup, perbankan, hingga layanan pemerintah menggunakan distribusi Linux seperti Ubuntu, Debian, atau Amazon Linux untuk menjalankan aplikasi mereka.
Bayangkan sebuah skenario di mana peretas memanfaatkan celah pada plugin WordPress yang umum digunakan. Setelah mendapatkan akses awal yang terbatas, mereka hanya butuh waktu sepuluh detik menjalankan skrip CopyFail untuk menjadi penguasa penuh atas server tersebut.
Sejauh ini, skrip Python yang dirilis Theori terbukti bekerja dengan sangat andal pada Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6, dan Debian 12. Jika Anda mengelola server VPS atau menggunakan Linux untuk kebutuhan profesional, risiko ini nyata dan mendesak.
Meskipun tim kernel Linux sudah merilis perbaikan pada versi 7.0 dan beberapa versi stabil lainnya (seperti 6.12.85 dan 5.15.204), distribusi besar belum semuanya menyalurkan patch tersebut ke pengguna akhir saat eksploitasi dipublikasikan.
Langkah Theori mempublikasikan kode eksploitasi ini memicu kritik pedas dari komunitas keamanan siber. Will Dormann, analis kerentanan senior dari Tharros Labs, menilai koordinasi yang dilakukan sangat buruk.
"Yang membingungkan bagi saya adalah mereka mencantumkan vendor yang terdampak dan menyuruh pembaca menerapkan patch, padahal mereka tidak memastikan apakah vendor tersebut benar-benar sudah memiliki patch yang tersedia," ujar Dormann dalam sebuah wawancara.
Situasi ini menciptakan apa yang disebut sebagai "zero-day patch gap". Di mana celah sudah diketahui publik, kodenya sudah tersebar, namun pengguna belum mendapatkan tombol "update" dari penyedia sistem operasi mereka.
Bagi pengguna Linux di Indonesia, sangat disarankan untuk segera melakukan pengecekan versi kernel. Gunakan perintah uname -r di terminal dan pastikan Anda segera melakukan sudo apt update && sudo apt upgrade begitu pembaruan tersedia dari distribusi yang Anda gunakan.