Kerentanan Linux “ssh-keysign-pwn” Ancam Kunci SSH dan Password Sistem

Sebuah kerentanan baru pada kernel Linux memicu kekhawatiran serius di kalangan komunitas keamanan siber global. Celah keamanan yang diberi kode CVE-2026-46333 ini memungkinkan penyerang mengakses data sensitif, termasuk kunci privat SSH dan hash password pada sistem yang terdampak.

Kerentanan tersebut dijuluki “ssh-keysign-pwn” dan dilaporkan memengaruhi berbagai distribusi Linux yang banyak digunakan di lingkungan server, pusat data, hingga infrastruktur cloud perusahaan.

Celah Berasal dari Mekanisme ptrace pada Kernel Linux

Masalah utama berasal dari logika kontrol akses ptrace di kernel Linux, tepatnya pada fungsi __ptrace_may_access().

Fungsi ini seharusnya membatasi bagaimana suatu proses dapat memeriksa atau berinteraksi dengan proses lain. Namun, kesalahan logika pada mekanisme pemeriksaan “dumpability” memunculkan race condition berbahaya yang dapat dimanfaatkan penyerang lokal tanpa hak akses istimewa.

Secara sederhana, saat proses dengan hak akses tinggi seperti ssh-keysign atau chage sedang ditutup, terdapat jeda singkat ketika konteks memori proses telah dihapus tetapi file descriptor masih aktif. Dalam kondisi tersebut, penyerang dapat memanfaatkan fungsi pidfd_getfd() untuk mencuri file descriptor sebelum benar-benar ditutup oleh sistem.

Akibatnya, pembatasan izin keamanan dapat dilewati dan file sensitif menjadi dapat diakses tanpa otorisasi.

Risiko Serius bagi Infrastruktur Server dan Cloud

Peneliti keamanan, termasuk tim dari Qualys, memperingatkan bahwa dampak kerentanan ini sangat serius, terutama pada lingkungan enterprise dan cloud yang bergantung pada SSH sebagai jalur akses utama.

Beberapa risiko utama yang diidentifikasi meliputi:

Pencurian Kunci Privat SSH

Penyerang dapat mengambil kunci privat SSH milik host atau pengguna. Dengan kunci tersebut, pelaku dapat menyamar sebagai sistem atau akun tertentu untuk memperoleh akses lebih luas.

Serangan Man-in-the-Middle

Kunci SSH yang telah bocor dapat digunakan untuk melakukan serangan man-in-the-middle (MitM) sampai administrator melakukan rotasi atau penggantian kunci.

Akses ke File /etc/shadow

Kerentanan ini juga memungkinkan pembacaan file /etc/shadow, yang menyimpan hash password pengguna Linux. Hash tersebut dapat dianalisis secara offline menggunakan teknik cracking password.

Potensi Pergerakan Lateral

Karena banyak organisasi masih menggunakan ulang kunci SSH di beberapa server atau lingkungan kerja, kompromi pada satu sistem berpotensi membuka akses ke infrastruktur lain.

Distribusi Linux yang Terdampak

CVE-2026-46333 dilaporkan memengaruhi sebagian besar distribusi Linux yang menggunakan kernel sebelum patch keamanan dirilis pada 14 Mei 2026.

Beberapa distribusi yang disebut terdampak antara lain:

• Ubuntu
• Debian
• Arch Linux
• CentOS
• Raspberry Pi OS

Peneliti menyebut kerentanan ini kemungkinan telah ada selama lebih dari enam tahun, sehingga banyak sistem lama maupun server produksi berisiko masih rentan.

Bug Terjadi Saat Proses Keluar dari Sistem

Akar masalah terletak pada cara kernel menangani proses yang kehilangan konteks memori saat sedang dihentikan.

Flag “dumpability”, yang awalnya dirancang untuk mengatur pembuatan core dump, ternyata juga digunakan dalam pemeriksaan ptrace meskipun secara logika tidak lagi relevan pada tahap akhir proses.

Ketika suatu proses keluar, memori dilepaskan lebih dahulu sementara file descriptor belum langsung ditutup. Pada fase transisi inilah pembatasan akses gagal diterapkan dengan benar.

Kondisi tersebut memungkinkan penyerang mengambil file descriptor milik proses dengan hak akses tinggi sebelum ditutup sepenuhnya oleh kernel.

Proof-of-Concept Sudah Beredar di GitHub

Eksploit proof-of-concept (PoC) bernama “ssh-keysign-pwn” telah dipublikasikan di GitHub. Keberadaan PoC ini meningkatkan risiko eksploitasi aktif di dunia nyata karena teknik serangan kini dapat dipelajari secara terbuka.

PoC tersebut bekerja dengan menjalankan proses penyerang secara berulang untuk berlomba dengan proses keluar dari helper berprivileg tinggi. Penyerang kemudian memanfaatkan pidfd_getfd untuk mengambil file descriptor menuju file yang dimiliki root.

Menurut analisis publik, eksploit biasanya berhasil dalam 100 hingga 2.000 percobaan, sehingga dinilai cukup praktis digunakan pada sistem nyata.

Dua jalur eksploitasi utama yang disorot meliputi:

Menargetkan ssh-keysign

Penyerang dapat membaca kunci privat SSH host dari file:

• /etc/ssh/ssh_host_ecdsa_key
• /etc/ssh/ssh_host_ed25519_key
• /etc/ssh/ssh_host_rsa_key

Menargetkan chage

Melalui perintah chage -l <user>, penyerang dapat mencuri akses ke file /etc/shadow menggunakan teknik pencurian file descriptor serupa.

Langkah Mitigasi yang Disarankan

Organisasi dan administrator sistem disarankan segera mengambil langkah mitigasi untuk mengurangi risiko eksploitasi.

Beberapa tindakan yang direkomendasikan antara lain:

• Memasang patch kernel terbaru yang memperbaiki CVE-2026-46333
• Melakukan rotasi seluruh kunci SSH, terutama pada server penting
• Mengaudit akses ke file sensitif seperti /etc/shadow
• Memantau aktivitas mencurigakan terkait ptrace dan pidfd
• Membatasi akses pengguna lokal jika memungkinkan

Dengan semakin luasnya penggunaan Linux pada layanan cloud, data center, dan sistem perusahaan di berbagai sektor, kerentanan ini dinilai sebagai ancaman serius yang memerlukan penanganan cepat. Kebocoran kunci SSH dapat membuka akses tidak sah ke infrastruktur penting dan berpotensi memicu kompromi jaringan yang lebih besar.

Bagus Santoso

“Communication. Music lover. Certified bacon pioneer. Travel supporter. Charming social media fanatic.”