Peneliti cybersecurity telah menunjukkan Rootkit Proof-of-Concept (POC) yang dijuluki Curing yang memanfaatkan mekanisme I/O Linux asinkron yang disebut io_uring untuk memotong pemantauan panggilan sistem tradisional.
Ini menyebabkan “titik buta utama di Linux Runtime Security Tools,” kata Armo.
“Mekanisme ini memungkinkan aplikasi pengguna untuk melakukan berbagai tindakan tanpa menggunakan panggilan sistem,” kata perusahaan dalam laporan yang dibagikan dengan Hacker News. “Akibatnya, alat keamanan yang mengandalkan pemantauan panggilan sistem buta 'untuk rootkit yang bekerja semata -mata pada io_uring.”
io_uring, pertama kali diperkenalkan di Linux Kernel Versi 5.1 pada bulan Maret 2019, adalah antarmuka panggilan sistem kernel Linux yang menggunakan dua buffer sirkuler yang disebut antrian pengiriman (SQ) dan antrian penyelesaian (CQ) antara Permintaan Kernel dan Aplikasi (IE, Ruang Pengguna) untuk melacak kiriman dan penyelesaian dari Asyn.
Rootkit yang dirancang oleh ARMO memfasilitasi komunikasi antara server perintah-dan-kontrol (C2) dan host yang terinfeksi untuk mengambil perintah dan melaksanakannya tanpa membuat panggilan sistem apa pun yang relevan dengan operasinya, alih-alih memanfaatkan IO_URING untuk mencapai tujuan yang sama.
https://www.youtube.com/watch?v=oj6vqo87miy
Analisis Armo tentang alat keamanan runtime Linux yang tersedia saat ini telah mengungkapkan bahwa Falco dan Tetragon buta terhadap operasi berbasis IO_uring karena fakta bahwa mereka sangat bergantung pada pengait panggilan sistem.
Risiko keamanan yang ditimbulkan oleh io_uring telah dikenal selama beberapa waktu. Pada bulan Juni 2023, Google mengungkapkan bahwa mereka memutuskan untuk membatasi penggunaan antarmuka kernel Linux di seluruh Android, Chromeos, dan server produksinya sebagai “memberikan primitif eksploitasi yang kuat.”
“Di satu sisi, Anda membutuhkan visibilitas ke dalam panggilan sistem; di sisi lain, Anda memerlukan akses ke struktur kernel dan konteks yang cukup untuk mendeteksi ancaman secara efektif,” kata Amit Schendel, kepala penelitian keamanan di ARMO.
“Banyak vendor mengambil jalur paling mudah: mengaitkan langsung ke panggilan sistem. Sementara pendekatan ini menawarkan visibilitas cepat, ia datang dengan keterbatasan. Terutama, panggilan sistem tidak selalu dijamin akan dipanggil. IO_URGE, yang dapat memotongnya sepenuhnya, adalah contoh yang positif dan hebat.”
