Kesenjangan keamanan yang signifikan dalam keamanan runtime Linux yang disebabkan oleh antarmuka ‘io_uring’ memungkinkan rootkit untuk beroperasi tidak terdeteksi pada sistem sambil melewati perangkat lunak keamanan perusahaan canggih.
Cacat itu Ditemukan oleh Armo Peneliti keamanan yang mengembangkan Rootkit bukti konsep yang disebut “Curing” untuk menunjukkan kepraktisan dan kelayakan serangan yang memanfaatkan IO_uring untuk penghindaran.
IO_uring adalah antarmuka kernel Linux untuk operasi I/O yang efisien dan asinkron. Itu diperkenalkan pada 2019 dengan Linux 5.1 untuk mengatasi masalah kinerja dan skalabilitas dengan sistem I/O tradisional.
Alih -alih mengandalkan panggilan sistem yang menyebabkan banyak overhead dan proses hang, IO_uring menggunakan buffer cincin yang dibagi antara program dan kernel sistem untuk mengantri permintaan I/O yang akan diproses secara tidak sinkron, memungkinkan program untuk terus berjalan.
Sumber: Donald Hunter
Masalahnya, menurut ARMO, muncul dari fakta bahwa sebagian besar alat keamanan memantau syscall dan pengait yang mencurigakan (seperti ‘ptrace’ atau ‘seccomp’), sepenuhnya mengabaikan apa pun yang melibatkan IO_RING, menciptakan blindspot yang sangat berbahaya.
Para peneliti menjelaskan bahwa IO_uring mendukung a beragam operasi Melalui 61 jenis OPS, termasuk file membaca/menulis, membuat dan menerima koneksi jaringan, proses pemijahan, memodifikasi izin file, dan membaca konten direktori, menjadikannya vektor rootkit yang kuat.
Begitulah risiko yang diputuskan Google Matikan secara default Pada Android dan Chromeos, yang menggunakan kernel Linux dan mewarisi banyak kerentanan yang mendasarinya.
Untuk memasukkan teori ke dalam pengujian, Armo menciptakan Curing, rootkit tujuan khusus yang menyalahgunakan io_uring untuk menarik perintah dari server jarak jauh dan menjalankan operasi sewenang-wenang tanpa memicu kait syscall.
Menguji curing terhadap beberapa alat keamanan runtime terkenal menunjukkan bahwa sebagian besar tidak dapat mendeteksi aktivitasnya.
Secara khusus, Falco ditemukan sepenuhnya buta bahkan ketika aturan deteksi khusus digunakan, sementara tetragon menunjukkan ketidakmampuan untuk menandai aktivitas jahat di bawah konfigurasi default.
Namun, Tetragon tidak menganggap platformnya rentan karena pemantauan dapat diaktifkan untuk mendeteksi rootkit ini.
“Kami melaporkan ini ke tim Tetragon dan tanggapan mereka adalah bahwa dari perspektif mereka, Tetragon tidak” rentan “karena mereka memberikan fleksibilitas untuk mengaitkan pada dasarnya di mana saja,” jelas para peneliti.
“Mereka menunjukkan yang baik Posting Blog Mereka menulis tentang subjek. “
Menguji terhadap alat komersial, ARMO lebih lanjut mengkonfirmasi ketidakmampuan untuk mendeteksi interaksi malware dan kernel berbasis IO_uring yang tidak melibatkan syscall. Namun, Armo tidak membagikan program komersial apa yang mereka uji lagi.
Bagi mereka yang ingin menguji lingkungan mereka terhadap ancaman ini, Armo telah membuat curing Tersedia secara gratis di GitHub.
ARMO menyarankan bahwa masalah tersebut dapat diselesaikan dengan adopsi instrumentasi keamanan runtime kernel (KRSI), yang memungkinkan program EBPF dilampirkan pada acara kernel yang relevan dengan keamanan.
