Experti v oblasti kybernetické bezpečnosti předvedli proof-of-concept (PoC) rotit s názvem Curing, který využívá asynchronní I/O mechanismus v Linuxu zvaný io_uring k obcházení tradičního monitorování systémových volání.

To podle společnosti ARMO způsobuje „zásadní slepou skvrnu v nástrojích pro runtime bezpečnost Linuxu“.

„Tento mechanismus umožňuje uživatelské aplikaci provádět různé akce bez použití systémových volání,“ uvádí společnost.  

io_uring, poprvé představený v jádře Linuxu ve verzi 5.1 v březnu 2019, je rozhraní systémového volání jádra Linuxu, které využívá dva kruhové buffery – frontu pro zadávání požadavků (SQ) a frontu pro dokončení požadavků (CQ) – mezi jádrem a aplikací (tj. uživatelským prostorem) ke sledování zadávání a dokončování I/O požadavků asynchronním způsobem.

Rootkit vyvinutý společností ARMO umožňuje komunikaci mezi serverem pro řízení a kontrolu (C2) a infikovaným hostitelem za účelem získávání příkazů a jejich provádění bez nutnosti použití jakýchkoli systémových volání souvisejících s jeho operacemi, místo toho využívá io_uring k dosažení stejných cílů.

Analýza společnosti ARMO aktuálně dostupných nástrojů pro runtime bezpečnost Linuxu odhalila, že jak Falco, tak Tetragon jsou slepé vůči operacím založeným na io_uring, protože silně spoléhají na zachytávání systémových volání. Bezpečnostní rizika spojená s io_uring jsou známa již delší dobu. V červnu 2023 společnost Google oznámila, že se rozhodla omezit používání tohoto rozhraní jádra Linuxu napříč Androidem, ChromeOS a svými produkčními servery, protože „poskytuje silné exploatační prvky“.

„Na jedné straně potřebujete viditelnost do systémových volání, na druhé straně potřebujete přístup ke strukturám jádra a dostatečný kontext pro efektivní detekci hrozeb,“ uvedl Amit Schendel, vedoucí výzkumu bezpečnosti ve společnosti ARMO.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS