Omijają podstawowe zabezpieczenia Linuxa. Nowy rootkit może nieźle namieszać

Naukowcy z firmy ARMO zaprezentowali demonstracyjnego rootkita o nazwie Curing, który z powodzeniem wykorzystuje interfejs io_uring do ominięcia monitorowania wywołań systemowych – jednej z podstawowych metod ochrony systemów Linux przed złośliwym oprogramowaniem.

Prezentacja ta potwierdziła wcześniejsze obawy, które zaczęły pojawiać się już w 2023 roku, dotyczące możliwości wykorzystania mechanizmu io_uring w atakach na systemy Linux.

Nowa generacja rootkitów: czym jest Curing?

Rootkit Curing został opracowany jako dowód koncepcji, aby pokazać, że mechanizm asynchronicznego wejścia/wyjścia io_uring może zostać użyty do ukrycia działań złośliwego oprogramowania przed popularnymi narzędziami bezpieczeństwa.

Jak wyjaśniają badacze z ARMO:

"Mechanizm io_uring umożliwia aplikacjom użytkownika wykonywanie szerokiej gamy działań bez konieczności korzystania z klasycznych wywołań systemowych. W efekcie narzędzia zabezpieczające polegające na ich monitorowaniu są ślepe na działania rootkitów wykorzystujących io_uring."

To oznacza, że popularne rozwiązania takie jak Falco czy Tetragon, które bazują na wychwytywaniu wywołań systemowych generowanych przez procesy, nie są w stanie wykryć takiego ataku.

Jak działa io_uring i dlaczego jest niebezpieczny?

Mechanizm io_uring, zaimplementowany w jądrze Linuxa w marcu 2019 r., działa w oparciu o dwa bufory cykliczne: kolejkę zgłoszeń (Submission Queue – SQ) i kolejkę ukończeń (Completion Queue – CQ). Bufory te pozwalają na asynchroniczne zarządzanie operacjami wejścia/wyjścia bez potrzeby bezpośredniego odwoływania się do wywołań systemowych.

W kontekście rootkita Curing oznacza to, że:

• Rootkit może nawiązać połączenie między serwerem dowodzenia atakującego a zainfekowanym systemem.

• Może odbierać i wykonywać polecenia bez wywoływania widocznych sygnałów dla monitorów bezpieczeństwa.

• Całość komunikacji odbywa się poprzez operacje io_uring, które są trudne do wykrycia konwencjonalnymi metodami.

Braki w zabezpieczeniach i wcześniejsze ostrzeżenia

Obawy dotyczące bezpieczeństwa mechanizmu io_uring nie są nowe. Już w czerwcu 2023 r. firma Google poinformowała o ograniczeniu korzystania z io_uring w systemach Android, ChromeOS oraz na serwerach produkcyjnych, wskazując na potencjalne ryzyko jego złośliwego wykorzystania.

Chociaż brakowało dowodów na praktyczne wykorzystanie io_uring w atakach, odkrycie ARMO dowodzi, że zagrożenie było realne. To wyraźny sygnał, że podstawowe narzędzia bezpieczeństwa Linuksa oraz sam mechanizm io_uring wymagają gruntownej rewizji.

Pozostawienie "otwartych drzwi" dla niewykrywalnych rootkitów stanowi zbyt poważne ryzyko dla użytkowników i administratorów Linuksa na całym świecie.

Publikacja kodu na GitHubie: ryzyko eskalacji

W szczególnie alarmującym kroku kod źródłowy demonstracyjnego rootkita został opublikowany w serwisie GitHub, co znacząco ułatwia potencjalnym cyberprzestępcom dostosowanie i wdrożenie nowej techniki ataku.

Eksperci ostrzegają, że praktyczne wykorzystanie exploita może nastąpić bardzo szybko, biorąc pod uwagę dynamikę środowisk cyberprzestępczych oraz rosnące możliwości tworzenia zaawansowanego złośliwego oprogramowania wspieranego przez sztuczną inteligencję.

Co dalej? Konieczne zmiany w podejściu do ochrony

Odkrycie rootkita Curing zmusza społeczność open-source oraz dostawców rozwiązań bezpieczeństwa do przemyślenia strategii ochrony systemów Linux. Prawdopodobnie w najbliższych miesiącach konieczne będą:

• aktualizacje narzędzi monitorujących,

• wprowadzenie nowych technik detekcji ukierunkowanych na operacje io_uring,

• lub nawet zmiany w samym projekcie tego interfejsu.