Фахівці з кібербезпеки компанії ARMO виявили критичну вразливість в операційній системі Linux, пов’язану з інтерфейсом io_uring. Дослідження показало, що ця архітектурна особливість створює потенційний вектор атак, який дозволяє зловмисникам успішно обходити сучасні системи корпоративного захисту.
Технічний аналіз вразливості io_uring
Інтерфейс io_uring, впроваджений у версії Linux 5.1 у 2019 році, представляє собою інноваційний механізм оптимізації асинхронних операцій введення-виведення. Його особливістю є використання кільцевих буферів для обміну даними між користувацьким простором та ядром системи. Хоча це рішення значно підвищує продуктивність, воно створює суттєві ризики для безпеки через можливість обходу традиційних механізмів моніторингу.
Демонстрація загрози: руткіт Curing
Для підтвердження серйозності проблеми дослідники розробили експериментальний руткіт Curing. Це шкідливе програмне забезпечення демонструє можливість виконання широкого спектру несанкціонованих дій, включаючи віддалене управління, файлові операції та мережеві підключення, залишаючись при цьому невидимим для стандартних засобів захисту.
Обмеження сучасних систем захисту
Проведене тестування виявило неспроможність провідних інструментів безпеки, таких як Falco та Tetragon, детектувати активність шкідливого ПЗ, що використовує io_uring. Це пов’язано з тим, що більшість захисних рішень орієнтована на моніторинг традиційних системних викликів, ігноруючи новітні механізми введення-виведення. Google вже відреагувала на цю загрозу, відключивши io_uring за замовчуванням в Android та ChromeOS.
Стратегії захисту та рекомендації
Експерти рекомендують впровадження Kernel Runtime Security Instrumentation (KRSI) як ефективного засобу протидії загрозам, пов’язаним з io_uring. Цей механізм забезпечує моніторинг подій безпеки на рівні ядра через програми eBPF. Для фахівців з інформаційної безпеки доступний proof-of-concept руткіт Curing на GitHub, що дозволяє провести тестування захищеності корпоративних систем.
Виявлена вразливість підкреслює необхідність постійної адаптації засобів захисту до нових технологічних викликів. Організаціям рекомендується провести комплексний аудит систем безпеки та впровадити додаткові механізми моніторингу, здатні виявляти загрози, що використовують сучасні особливості Linux-систем. Особливу увагу слід приділити захисту критичної інфраструктури та серверних систем, де наслідки успішної атаки можуть бути найбільш руйнівними.
