Istraživači cyber sigurnosti su demonstrirali rootkit za dokaz koncepta (PoC) nazvan Curing koji koristi Linux asinhroni I/O mehanizam nazvan io_uring da zaobiđe tradicionalni nadzor sistemskih poziva.
Ovo uzrokuje “veliku slijepu tačku u sigurnosnim alatima Linux runtimea”, rekao je ARMO.
„Ovaj mehanizam omogućava korisničkoj aplikaciji da izvodi različite radnje bez korištenja sistemskih poziva“, navodi kompanija u izvještaju koji je podijeljen za The Hacker News. “Kao rezultat toga, sigurnosni alati koji se oslanjaju na nadzor sistemskih poziva slijepi su” za rootkite koji rade isključivo na io_uringu.”
io_uring, prvi put predstavljen u verziji Linux kernela 5.1 u martu 2019., je interfejs za pozive sistema Linux kernela koji koristi dva kružna bafera nazvana red za podnošenje (SQ) i red za završetak (CQ) između kernela i aplikacije (tj. korisničkog prostora) za praćenje podnošenja i dovršetka u maneru kao I/O zahtevima.
Rutkit koji je osmislio ARMO olakšava komunikaciju između servera za komandu i kontrolu (C2) i zaraženog hosta za dohvaćanje komandi i njihovo izvršavanje bez pravljenja ikakvih sistemskih poziva relevantnih za njegove operacije, umjesto da koristi io_uring za postizanje istih ciljeva.
ARMO-ova analiza trenutno dostupnih Linux runtime sigurnosnih alata je otkrila da su i Falco i Tetragon slijepi za operacije zasnovane na io_uringu zbog činjenice da se u velikoj mjeri oslanjaju na priključivanje sistemskih poziva.
Sigurnosni rizici koje predstavlja io_uring su poznati već neko vrijeme. U junu 2023. godine, Google je otkrio da je odlučio ograničiti korištenje Linux kernel sučelja na Androidu, ChromeOS-u i njegovim produkcijskim serverima jer „pruža snažne primitive za eksploataciju“.
“S jedne strane, potrebna vam je vidljivost u sistemskim pozivima; s druge, potreban vam je pristup strukturama kernela i dovoljan kontekst za efikasno otkrivanje prijetnji”, rekao je Amit Schendel, šef sigurnosnog istraživanja u ARMO-u.
“Mnogi dobavljači idu najjednostavnijim putem: spajaju se direktno na sistemske pozive. Iako ovaj pristup nudi brzu vidljivost, dolazi sa ograničenjima. Najvažnije je da sistemski pozivi nisu uvijek zagarantovani da će biti pozvani. io_uring, koji ih može u potpunosti zaobići, je pozitivan i odličan primjer.”
Izvor:The Hacker News
