Weekly Recap: Bug Linux 9 Tahun, Defender 0-Day, Botnet Router Global, dan Supply Chain Chaos

Minggu ini adalah pengingat bahwa ancaman siber tidak menunggu siapapun. Dalam tujuh hari, dunia keamanan menghadapi empat gelombang serangan berbeda: kernel Linux yang sudah bertahun-tahun menyimpan bom waktu akhirnya meledak, Microsoft Defender — perangkat yang seharusnya melindungi — justru menjadi target, botnet lama bangkit kembali memangsa router yang terlupakan, dan satu LMS yang digunakan ribuan lembaga pendidikan berubah menjadi jalur masuk Cobalt Strike.

Inilah ringkasan komprehensif setiap ancaman yang perlu Anda ketahui.

Linux Kernel: Dua Celah Root dalam Dua Minggu

CVE-2026-46333 — “ssh-keysign-pwn”: Bug 9 Tahun yang Kini Jadi Exploit Publik

Ini adalah temuan yang paling meresahkan minggu ini. CVE-2026-46333, dijuluki ssh-keysign-pwn oleh komunitas keamanan, adalah logic flaw di fungsi __ptrace_may_access() kernel Linux yang sudah bersembunyi selama 9 tahun — tepatnya sejak November 2016 ketika diperkenalkan di v4.10-rc1.

Cara Kerja Serangan

Bug ini mengeksploitasi race condition yang sangat spesifik. Ketika sebuah proses privileged sedang keluar (exiting), ada jendela sempit antara saat memory descriptor-nya dilepas dan saat file descriptor table-nya ditutup. Dalam jendela itu, kernel melewatkan pengecekan dumpable safeguard karena memory descriptor-nya sudah NULL.

Penyerang memanfaatkan pidfd_getfd(2) — interface kernel yang diperkenalkan di Linux 5.6 — untuk menyalin file descriptor terbuka dari proses privileged yang sedang keluar tersebut. Hasilnya:

• Membaca /etc/shadow (seluruh password hash sistem)
• Mencuri SSH host private key
• Mengeksekusi perintah sembarang sebagai root lewat koneksi dbus yang dibajak ke systemd

Tidak perlu hak istimewa apapun. Cukup akses shell lokal di mesin yang rentan.

Distribusi yang Terdampak

Exploit publik yang berfungsi sudah beredar luas. CISA telah menambahkan CVE-2026-46333 ke Known Exploited Vulnerabilities (KEV) catalog.

Mitigasi Sementara (Sebelum Patch)

Jika patch kernel belum bisa diterapkan segera, naikkan ptrace_scope ke level 2:

# Mitigasi sementara — blokir ptrace oleh non-admin
sudo sysctl -w kernel.yama.ptrace_scope=2

# Jadikan permanen
echo "kernel.yama.ptrace_scope = 2" | sudo tee /etc/sysctl.d/99-ptrace.conf
sudo sysctl -p /etc/sysctl.d/99-ptrace.conf

Level 2 memblokir jalur exploit publik karena pidfd_getfd(2) diproteksi oleh __ptrace_may_access(). Update kernel vendor tetap wajib sesegera mungkin.

CVE-2026-46300 — “Fragnesia”: Celah Root Ketiga Linux dalam Dua Minggu

Belum selesai dengan CVE-2026-46333, peneliti dari Zellic dan tim V12 security mengumumkan CVE-2026-46300 yang dijuluki Fragnesia — celah Linux kernel LPE (Local Privilege Escalation) ketiga dalam dua minggu terakhir.

Fragnesia adalah variant baru dari keluarga Dirty Frag yang menargetkan subsistem XFRM ESP-in-TCP di kernel. Flaw-nya: kernel gagal mengenali halaman fragment yang dibagikan (shared fragment pages) saat proses penggabungan memori (coalescing). Akibatnya, kernel melakukan dekripsi AES-GCM secara in-place langsung pada entri file page cache — mengubah konten file read-only yang seharusnya tidak bisa dimodifikasi.

Dampak praktis: Penyerang dapat memodifikasi isi /usr/bin/su di page cache tanpa menyentuh disk, lalu mendapatkan root secara deterministik.

Berbeda dari Dirty Frag, Fragnesia tidak membutuhkan hak host-level apapun. PoC exploit sudah dirilis oleh tim V12. Belum ada eksploitasi in-the-wild yang terkonfirmasi, tapi patch tersedia dan harus segera diterapkan.

Microsoft Defender: Ketika Antivirus Menjadi Target

CVE-2026-41091 (RedSun) + CVE-2026-45498 (UnDefend)

Microsoft mengungkap dua zero-day aktif di Microsoft Defender pada 19 Mei 2026 — keduanya sudah masuk daftar KEV CISA dengan deadline patch 3 Juni 2026 untuk instansi federal AS.

CVE-2026-41091 — RedSun (CVSS 7.8)

RedSun adalah privilege escalation ke SYSTEM melalui link following flaw di Microsoft Malware Protection Engine versi 1.1.26030.3008 ke bawah. Secara teknis, bug ini tergolong CWE-59 (Improper Link Resolution Before File Access): engine salah mengikuti symbolic link saat memproses file, membuka celah bagi penyerang untuk menargetkan path privileged dan menaikkan hak akses ke SYSTEM.

Penyerang yang sudah punya akses user biasa di mesin Windows bisa memanfaatkan ini untuk kompromi penuh sistem.

CVE-2026-45498 — UnDefend (CVSS 4.0)

UnDefend adalah DoS yang menonaktifkan perlindungan Defender sepenuhnya. CVSS-nya lebih rendah, tapi dampak operasionalnya sangat signifikan: mesin yang terekspos menjadi buta, tidak ada real-time protection, tidak ada scanning, tidak ada alert.

Dalam rantai serangan nyata, UnDefend kemungkinan dipakai sebagai langkah pertama untuk menonaktifkan pertahanan sebelum malware ditanamkan.

Status Patch

Defender biasanya memperbarui diri secara otomatis. Verifikasi versi platform:

# Cek versi Microsoft Defender Antimalware Platform
Get-MpComputerStatus | Select-Object -Property AMProductVersion, AMEngineVersion

Pastikan nilai AMProductVersion sudah 1.1.26040.8 atau lebih baru.

Router Botnets: Eksploitasi Bug Lama, Skala Baru

RondoDox: Botnet yang Menghidupkan Kembali CVE dari 2018

RondoDox adalah botnet baru yang pertama kali terdeteksi honeypot FortiGuard Labs pada 17 Mei 2026. Senjata utamanya: CVE-2018-5999 — celah kritis (CVSS 9.8) di router ASUS yang sudah tidak didukung lagi sejak bertahun-tahun.

CVE-2018-5999 memungkinkan penyerang tidak terautentikasi mengubah konfigurasi router dan mengeksekusi perintah sebagai root, tanpa password. Bug yang sudah diketahui 8 tahun — tapi jutaan router ASUS lama di seluruh dunia tidak pernah diupdate karena sudah tidak menerima patch resmi.

RondoDox tidak berhenti di satu eksploit. FortiGuard Labs mengidentifikasi bahwa botnet ini juga memakai CVE-2024-12856 (flaw di TBK DVR) dalam kampanye yang sama — pola shotgun exploitation yang menyerang berbagai perangkat sekaligus.

Taktik evasion yang digunakan:

• Custom library yang meniru traffic gaming dan VPN untuk menghindari deteksi
• 76% dari aktivitas yang diamati bertujuan infrastructure takeover
• Sektor commerce menjadi target terbesar

Perangkat yang berhasil dikompromisi diubah menjadi node DDoS, proxy anonim, atau pijakan untuk intrusi lebih dalam ke jaringan target.

CVE-2024-9643 — Router Industri Four-Faith F3x36

Sementara RondoDox menyasar router konsumen, kampanye terpisah menarget router industri Four-Faith F3x36 lewat CVE-2024-9643 — authentication bypass karena hard-coded credentials yang tertanam di firmware v2.0.0 pada antarmuka web management.

CrowdSec melaporkan bahwa eksploitasi massal dimulai 12 Mei 2026, dengan 139 IP penyerang berbeda teramati hanya dalam periode 12–18 Mei. Ini bukan serangan biasa — ini kampanye terorganisir yang menarget infrastruktur industri.

Four-Faith F3x36 banyak digunakan di sektor manufaktur, utilitas, dan transportasi sebagai cellular router untuk jaringan OT/ICS. Kompromi terhadap perangkat ini bisa berdampak jauh melampaui data.

Langkah segera:

1. Periksa apakah firmware sudah lebih baru dari v2.0.0
2. Nonaktifkan akses remote ke web management interface jika tidak diperlukan
3. Pasang firewall rule untuk memblokir IP dari daftar IoC yang dirilis CrowdSec

Supply Chain: LMS Japan Jadi Pintu Masuk Cobalt Strike

CVE-2026-5426 — KnowledgeDeliver LMS: ViewState Deserialization RCE

Digital Knowledge KnowledgeDeliver, platform Learning Management System (LMS) yang populer di Jepang dan digunakan oleh universitas serta lembaga pelatihan korporat, ditemukan mengandung celah kritis yang sudah dieksploitasi sejak sebelum 24 Februari 2026.

CVE-2026-5426 (CVSS 7.5) adalah ViewState deserialization vulnerability yang berakar dari satu kesalahan arsitektur: ASP.NET machine key yang sama dan hardcoded digunakan di seluruh instalasi pelanggan. Siapapun yang mengetahui machine key ini bisa membuat ViewState payload berbahaya yang akan di-deserialize oleh server sebagai eksekusi kode — tanpa autentikasi apapun.

Rantai Serangan

1. Attacker craft ViewState payload menggunakan hardcoded machine key
2. Server KnowledgeDeliver deserialize payload → unauthenticated RCE
3. Deploy Godzilla (alias BLUEBEAM) web shell
4. Godzilla memberikan akses command execution persisten
5. Drop Cobalt Strike Beacon → C2 terhubung
6. Lateral movement ke seluruh jaringan institusi

Godzilla adalah web shell berfitur lengkap yang mendukung eksekusi perintah, upload/download file, dan tunnel traffic. Cobalt Strike Beacon kemudian digunakan untuk persistence jangka panjang dan gerakan lateral.

Langkah mitigasi:

• Update KnowledgeDeliver ke versi setelah 24 Februari 2026
• Audit log web server untuk request mencurigakan ke endpoint __VIEWSTATE
• Cari keberadaan file .aspx tidak dikenal di direktori aplikasi
• Periksa koneksi keluar dari server ke IP eksternal yang tidak biasa

Ringkasan Tindakan Prioritas

Dari semua ancaman minggu ini, berikut urutan prioritas berdasarkan risiko aktual:

Pola yang Perlu Dicermati

Tiga tema besar muncul dari serangan minggu ini:

Pertama, “bug lama” tidak berarti “tidak berbahaya”. CVE-2026-46333 ada sejak 2016, CVE-2018-5999 diketahui sejak 2018. Tapi keduanya masih efektif karena patch tidak diterapkan atau perangkat sudah EOL. Posture keamanan yang baik bukan hanya soal menangkis ancaman baru, tapi juga memastikan tidak ada hutang teknis yang membuka pintu lama.

Kedua, security tools sendiri menjadi target. Dua zero-day Defender aktif dieksploitasi minggu ini. Ini bukan anomali — pola serangan terhadap endpoint security software, VPN client, dan antivirus semakin sering terlihat karena software ini berjalan dengan hak istimewa tinggi dan sering mendapat trust penuh.

Ketiga, edge devices adalah titik buta terbesar. Router ASUS lama, router industri Four-Faith, DVR — semua menjadi target karena jarang dimonitor, jarang diupdate, dan sering punya akses langsung ke jaringan inti. Jika organisasi Anda belum punya inventarisasi lengkap edge devices, mulailah dari sana.

Pantau SiberInd untuk pembaruan threat intelligence mingguan, analisis CVE mendalam, dan panduan mitigasi langkah-demi-langkah untuk tim keamanan Indonesia.