A maioria dos usuários do Linux assume que suas ferramentas de segurança capturarão maus atores antes que os danos sejam causados ​​- mas, infelizmente, novas pesquisas sugerem que a confiança pode ser extraviada. Veja, Armo, a empresa atrás CubescapeDescobriu o que poderia ser um dos maiores pontos cegos do Linux Security hoje. A empresa lançou um rootkit que trabalha “cura” que usa io_uring, um recurso embutido no kernel Linux, para realizar furtivamente atividades maliciosas sem ser pego por muitas das soluções de detecção atualmente no mercado.

No centro da questão está a forte dependência de chamadas do sistema de monitoramento, que se tornou o método preferido para muitos fornecedores de segurança cibernética. O problema? Os atacantes podem evitar completamente essas chamadas monitoradas, apoiando -se em io_uring. Esse método inteligente pode permitir que os maus atores façam conexões de rede ou adulterem os arquivos sem acionar os alarmes usuais.

As descobertas da ARMO são especialmente preocupantes para os fãs de ferramentas de segurança baseadas em EBPF. Embora o EBPF seja frequentemente comemorado por seu poder e flexibilidade, acontece que olhar apenas para chamadas do sistema deixa um ponto cego perigoso quando io_uring está em jogo. Com o Linux dominando o espaço nativo da nuvem, essa vulnerabilidade pode ter sérias conseqüências para inúmeras empresas que dependem desses sistemas de detecção.

O que torna essa situação ainda mais preocupante é que io_uring faz parte do kernel Linux há anos. O fato de ninguém ter desenvolvido um rootkit totalmente funcional para explorá -lo até agora é absolutamente surpreendente. Mas com a cura disponível ao público, as equipes de segurança podem finalmente testar se suas próprias defesas são vulneráveis.

ARMO diz que sua solução de detecção e resposta a aplicativos em nuvem (CADR) pode bloquear esse tipo de ataque furtivo. O gerenciamento automático de perfil da Seccomp da empresa permite que os usuários desativem as chamadas do sistema como io_uring, se não forem necessárias, fechando a porta nessa exploração sorrateira.

O grande argumento aqui? Se a sua configuração de segurança do Linux ainda estiver presa, confiando no monitoramento tradicional de chamadas do sistema, você poderá deixar a porta dos fundos aberta. Graças à pesquisa de Armo, essa porta está agora à vista – e os atacantes já sabem como passar por ela.