CISA resmi memasukkan celah keamanan Linux "Copy Fail" atau CVE-2026-31431 ke dalam daftar kerentanan berbahaya yang aktif dieksploitasi per 1 Mei 2026. Kerentanan ini memungkinkan pengguna lokal tanpa hak akses khusus untuk mengambil alih kendali penuh (root) pada berbagai distribusi besar seperti Ubuntu dan RHEL.
Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat memberikan peringatan serius bagi para pengelola sistem berbasis Linux di seluruh dunia. Celah keamanan baru berkode CVE-2026-31431, yang populer dengan sebutan "Copy Fail", kini masuk dalam katalog Known Exploited Vulnerabilities (KEV). Langkah ini diambil setelah ditemukan bukti bahwa celah tersebut sudah mulai digunakan dalam serangan aktif di lapangan.
Kerentanan ini bersumber dari antarmuka kriptografi "algif_aead" pada kernel Linux. Melalui celah ini, penyerang yang memiliki akses lokal terbatas dapat meningkatkan hak akses mereka menjadi root atau administrator tertinggi. Dengan kendali root, pelaku kejahatan siber memiliki otoritas penuh untuk memodifikasi file sistem, mencuri data sensitif, hingga memasang malware yang sulit dideteksi.
Peneliti keamanan dari tim Theori, yang pertama kali mengungkap temuan ini pekan lalu, merilis bukti konsep (Proof-of-Concept/PoC) yang menunjukkan betapa berbahayanya Copy Fail. Tim peneliti mengklaim eksploitasi ini memiliki tingkat keberhasilan 100 persen dan bisa berjalan tanpa modifikasi pada berbagai distribusi Linux populer. Hal ini jarang terjadi dalam dunia eksploitasi kernel yang biasanya sangat spesifik terhadap konfigurasi tertentu.
Portabilitas eksploit Copy Fail menjadi ancaman nyata karena menyasar sistem yang banyak digunakan di lingkungan server maupun korporasi. Berdasarkan laporan teknis Theori, beberapa distribusi yang terkonfirmasi rentan meliputi:
Kemudahan penggunaan kode eksploit ini menurunkan hambatan bagi penyerang untuk mempersenjatai bug tersebut. Meski serangan membutuhkan akses lokal—artinya penyerang harus sudah memiliki akun pengguna biasa di sistem—risiko eskalasi tetap dianggap kritis, terutama pada server yang digunakan bersama atau layanan cloud.
Situasi menjadi lebih rumit karena pengungkapan celah ini dilakukan tanpa koordinasi awal dengan para pengelola distribusi Linux. Dalam diskusi di milis keamanan Openwall, terungkap bahwa para maintainer distro tidak diberikan pemberitahuan sebelumnya untuk menyiapkan perbaikan (patch) sebelum detail teknisnya tersebar luas ke publik.
Akibatnya, saat informasi Copy Fail meledak di komunitas keamanan, banyak sistem yang belum memiliki patch resmi. Sejumlah pengembang bahkan melaporkan bahwa cabang kernel Long-Term Support (LTS) versi lama masih menunggu proses backporting patch. Untuk sementara, tim pengembang menyarankan langkah mitigasi darurat dengan menonaktifkan modul kriptografi yang terdampak jika memungkinkan.
CISA memberikan tenggat waktu hingga dua minggu bagi instansi pemerintah federal AS untuk segera melakukan pembaruan sistem. Langkah ini biasanya menjadi standar acuan bagi organisasi global dan perusahaan swasta untuk memprioritaskan perbaikan pada infrastruktur IT mereka sebelum serangan meluas.
Bagi administrator sistem dan pengelola data center di Indonesia, temuan ini menuntut respons cepat. Mengingat Ubuntu dan RHEL merupakan tulang punggung banyak infrastruktur web dan aplikasi di tanah air, risiko pengambilalihan server menjadi ancaman nyata. Pengguna disarankan untuk segera melakukan pengecekan versi kernel dan melakukan pembaruan (update) segera setelah patch tersedia di repositori resmi masing-masing distro.
Hingga saat ini, para vendor Linux sedang berpacu dengan waktu untuk merilis pembaruan kernel secara menyeluruh. Selama patch belum diterapkan, sistem tetap berada dalam posisi rentan, terutama jika ada akses pengguna pihak ketiga di dalam server tersebut. Pengawasan terhadap log aktivitas sistem dan pembatasan akses lokal menjadi kunci mitigasi sementara yang paling efektif.