GhostLock: Celah Linux Berusia 15 Tahun Ancam Keamanan Server dan Kontainer
Baca dalam 60 detik
- Kerentanan GhostLock (CVE-2026-43499) pada kernel Linux memungkinkan pengguna biasa mengambil alih kendali penuh sistem tanpa izin khusus.
- Celah ini sudah ada sejak 2011 dan memengaruhi hampir semua distribusi Linux; patch telah dirilis namun belum merata.
- Eksploitasi dapat dikombinasikan dengan celah peramban untuk serangan jarak jauh, mengancam server bersama dan lingkungan kontainer.

Sebuah celah keamanan pada kernel Linux yang telah mengendap selama 15 tahun akhirnya terungkap: GhostLock (CVE-2026-43499) memungkinkan setiap pengguna yang sudah masuk ke sistem untuk memperoleh akses root penuh, termasuk melarikan diri dari kontainer. Temuan dari Nebula Security ini menjadi alarm bagi operator server dan penyedia layanan cloud di Indonesia yang mengandalkan infrastruktur Linux.
Kode rentan telah menjadi bagian default dari hampir semua distribusi utama sejak 2011. Yang membuatnya berbahaya, celah ini tidak memerlukan izin khusus, pengaturan tidak biasa, atau akses jaringan—cukup panggilan threading biasa dari program lokal mana pun. Nebula berhasil mengembangkan eksploitasi dengan tingkat keandalan 97% dalam pengujian mereka, dan Google memberikan hadiah 92.337 dolar AS melalui program bug bounty kernelCTF.
Meski belum ada laporan eksploitasi di alam liar, Nebula telah mempublikasikan kode eksploitasi yang berfungsi. Artinya, siapa pun kini dapat menjalankannya. Prioritas utama adalah segera melakukan penambalan, terutama pada sistem bersama dan multi-penyewa seperti server cloud, kontainer, dan pelari CI—tempat di mana penyerang paling mungkin mendapatkan pijakan lokal yang dibutuhkan celah ini.
Mekanisme kerjanya berkaitan dengan penanganan prioritas tugas di kernel. Dalam kasus langka saat operasi kunci menemui jalan buntu, pembersihan berjalan pada momen yang salah dan menghapus catatan tugas yang keliru. Akibatnya, kernel memegang penunjuk ke memori yang sudah dibuang dan digunakan ulang—jenis kesalahan yang dikenal sebagai use-after-free. Dari sana, tim Nebula merangkai langkah-langkah untuk mengeksekusi kode mereka sebagai pengguna root, hanya dalam waktu sekitar lima detik pada mesin uji.
GhostLock bukan satu-satunya celah eskalasi hak istimewa Linux tahun ini. Sebelumnya, Bad Epoll (CVE-2026-46242) ditemukan di area kode serupa dan bahkan berfungsi di Android. Keduanya ditemukan oleh alat otomatis—VEGA dari Nebula dan Mythos dari Anthropic—yang menyisir kode kernel lama yang jarang diperiksa ulang selama bertahun-tahun. Celah Copy Fail (CVE-2026-31431) bahkan sudah masuk dalam daftar CISA sebagai kerentanan yang dieksploitasi di dunia nyata.
"GhostLock adalah bagian kedua dari rantai yang disebut IonStack. Bagian pertama, CVE-2026-10702, adalah celah Firefox yang menjalankan kode di dalam peramban dan melarikan diri dari sandbox-nya; GhostLock membawanya hingga ke root," jelas Nebula dalam laporan mereka.
Tim Nebula telah mendemonstrasikan rantai serangan penuh—dari satu ketukan pada tautan berbahaya hingga kendali penuh—terhadap Firefox di Android. Ini menunjukkan mengapa celah kernel yang hanya bersifat lokal tetap penting: jika digabungkan dengan eksploitasi peramban, ia menjadi kompromi jarak jauh. Nebula berjanji akan merilis laporan lengkap tentang eksploitasi Android tersebut.
Bagi pengguna dan administrator di Indonesia, langkah pertama adalah memeriksa apakah distribusi yang digunakan sudah menerima patch kernel terbaru. Jangan hanya mengandalkan versi patch awal karena dapat memicu kerusakan sistem. Opsi mitigasi seperti RANDOMIZE_KSTACK_OFFSET dan STATIC_USERMODE_HELPER dapat mempersulit eksploitasi, tetapi bukan pengganti tambalan. Dengan semakin banyaknya layanan digital yang berjalan di atas infrastruktur Linux, celah seperti GhostLock mengingatkan bahwa keamanan kernel adalah fondasi yang tidak boleh diabaikan.



