Fragnesia dan ssh-keysign-pwn: Dua Kerentanan Baru Linux Kernel yang Perlu Segera Ditambal

Jika berhasil dieksploitasi, penyerang dapat memperoleh akses root penuh, yang berarti kontrol total terhadap sistem Linux yang terdampak . Bukti konsep (proof‑of‑concept / PoC) publik juga sudah tersedia dan dilaporkan berhasil dijalankan pada beberapa sistem nyata, termasuk instalasi Ubuntu .

ssh‑keysign‑pwn (CVE‑2026‑46333): Membaca Rahasia Milik Root

Kerentanan kedua, ssh‑keysign‑pwn, tidak langsung memberikan shell root. Namun dampaknya tetap serius karena memungkinkan pembacaan data sensitif milik root oleh pengguna biasa .

Bug ini berasal dari kesalahan logika pada mekanisme kontrol akses ptrace di kernel Linux. Secara khusus, masalah terjadi pada penanganan atribut proses yang disebut “dumpability” di fungsi ptrace_may_access()—fungsi yang menentukan apakah suatu proses boleh menginspeksi memori proses lain .

Ketika pemeriksaan ini diterapkan pada tugas (task) tertentu yang tidak memiliki struktur manajemen memori (MM), pengecekan hak akses dapat gagal menegakkan pembatasan yang seharusnya berlaku.

Dalam praktiknya, penyerang dapat memanfaatkan kondisi tersebut untuk membaca file sensitif seperti:

• Kunci privat SSH host di /etc/ssh/
• Hash password pengguna di /etc/shadow

Eksploitasi publik menargetkan helper setuid‑root ssh-keysign milik OpenSSH. Program ini membuka file kunci host sebelum menurunkan hak aksesnya; penyerang dapat menempelkan proses pada saat yang tepat untuk mengekstrak descriptor file atau isi memori proses tersebut .

Kerentanan ini telah diperbaiki dalam beberapa rilis kernel stabil, termasuk 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207, dan 5.10.256 .

Bagian dari Gelombang Kerentanan Kernel Baru

Fragnesia dan ssh‑keysign‑pwn muncul dalam periode yang tidak biasa: beberapa kerentanan kernel Linux diumumkan dalam waktu sekitar dua minggu. Selain dua bug ini, peneliti juga melaporkan bug lain seperti Dirty Frag dan kerentanan terkait Copyfail .

Beberapa pola yang sama terlihat pada gelombang bug ini:

• Menyerang subsistem inti kernel seperti jaringan atau tracing proses
• Membutuhkan akses lokal tanpa hak istimewa sebagai titik awal
• Memberikan kemampuan untuk meningkatkan hak akses atau mencuri data sensitif

Artinya, jika penyerang sudah mendapatkan akses awal ke server—misalnya melalui aplikasi web yang diretas—kerentanan kernel semacam ini bisa menjadi jalan cepat untuk mengambil alih sistem sepenuhnya.

Patch dan Tindakan yang Harus Dilakukan Administrator

Karena kedua masalah ini berada di kernel, mitigasi utamanya adalah memperbarui kernel ke versi yang sudah diperbaiki dan melakukan reboot.

Langkah utama yang disarankan:

• Perbarui kernel sesegera mungkin. Banyak distribusi Linux sudah merilis paket kernel yang diperbarui.
• Lakukan reboot setelah update. Patch kernel tidak aktif sampai sistem boot menggunakan kernel baru.
• Periksa versi kernel yang sedang berjalan dengan

  uname -r

  dan pastikan sesuai dengan versi yang telah diperbaiki.

Beberapa distribusi—misalnya AlmaLinux—bahkan merilis kernel yang memperbaiki kedua CVE sekaligus, sehingga cukup menjalankan pembaruan sistem dan reboot .

Mitigasi Sementara untuk Fragnesia

Jika pembaruan kernel belum dapat diterapkan segera, administrator dapat mengurangi permukaan serangan dengan menonaktifkan modul jaringan yang rentan, misalnya:

• esp4
• esp6
• rxrpc

Langkah ini dapat menurunkan risiko eksploitasi, tetapi juga dapat menonaktifkan fungsi tertentu seperti IPsec pada sistem .

Mitigasi Sementara untuk ssh‑keysign‑pwn

Beberapa administrator menerapkan pembatasan tambahan pada ptrace, misalnya dengan meningkatkan nilai konfigurasi kernel berikut:

kernel.yama.ptrace_scope=2 atau 3

Pengaturan ini dapat memblokir eksploitasi yang diketahui, tetapi bisa menyebabkan alat debugging seperti strace atau gdb tidak berfungsi. Karena itu, solusi ini hanya dianggap sebagai langkah sementara sampai kernel diperbarui .

Intinya

Kerentanan Fragnesia dan ssh‑keysign‑pwn menunjukkan betapa berbahayanya bug kernel yang dapat dieksploitasi setelah kompromi awal. Dengan hanya akses pengguna biasa, penyerang bisa:

• memperoleh akses root penuh, atau
• mencuri rahasia penting sistem.

Langkah paling aman bagi organisasi dan administrator sistem adalah:

• Menginstal kernel yang telah ditambal untuk CVE‑2026‑46300 dan CVE‑2026‑46333.
• Reboot sistem agar kernel baru aktif.
• Jika ada indikasi kompromi, rotasi kunci SSH host dan audit akses file sensitif.

Dengan proof‑of‑concept eksploitasi yang sudah tersedia secara publik, menunda patch hanya meningkatkan kemungkinan kerentanan ini dimanfaatkan dalam serangan nyata.