Siber güvenlik araştırmacıları, geleneksel sistem çağrısı izlemesini atlamak için IO_uring adlı bir Linux asenkron I/O mekanizmasını kullanan bir kavram kanıtı (POC) rootkit olarak adlandırdılar.
Armo, bu “Linux çalışma zamanı güvenlik araçlarında büyük bir kör noktaya” neden oluyor.
Hacker News ile paylaşılan bir raporda, “Bu mekanizma, bir kullanıcı uygulamasının sistem çağrıları kullanmadan çeşitli eylemler gerçekleştirmesine izin veriyor.” Dedi. “Sonuç olarak, sistem çağrısı izlemeye dayanan güvenlik araçları” sadece IO_uring üzerinde çalışan rootkitlere kördür. “
İlk olarak Mart 2019’da Linux Çekirdek Sürüm 5.1’de tanıtılan io_uring, çekirdek ve bir uygulama (yani, kullanıcı alanı) arasında bir başvuru ve bir uygulama (yani, kullanıcı alanı) arasında bir Linux çekirdek sistemi çağrı arayüzüdür.
Armo tarafından tasarlanan rootkit, komut ve kontrol sunucusu ile enfekte olmuş bir ana bilgisayar arasındaki iletişimi, komutları almak ve operasyonlarıyla alakalı herhangi bir sistem çağrısı yapmadan yürütmek için, aynı hedeflere ulaşmak için io_uring kullanmasını sağlamak için iletişimi kolaylaştırır.
https://www.youtube.com/watch?v=oj6vqo87miy
Armo’nun şu anda mevcut olan Linux çalışma zamanı güvenlik araçları analizi, hem Falco hem de Tetragon’un sistem çağrısına büyük ölçüde bağımlı oldukları için IO_uring tabanlı işlemlere kör olduklarını ortaya koydu.
IO_uring kullanılarak gerçekleştirilen sistem işlemlerini de yapamayan Crowdstrike’in Falcon ajanı, o zamandan beri sorun için bir düzeltme yaptı. Bununla birlikte, Linux’ta uç nokta için Microsoft Defender’ın, IO_uring’in kullanılıp kullanılmadığına bakılmaksızın, çeşitli tehdit türlerini tespit etme yeteneklerinden yoksun olduğu söylenir.
IO_uring tarafından ortaya çıkan güvenlik riskleri bir süredir bilinmektedir. Haziran 2023’te Google, Linux çekirdek arayüzünün Android, Chromeos ve üretim sunucularında kullanımını “güçlü sömürü ilkelleri sağladığı” için sınırlamaya karar verdiğini açıkladı.
Armo güvenlik araştırması başkanı Amit Schendel, “Bir yandan sistem çağrılarına görünürlüğe ihtiyacınız var; diğer yandan, çekirdek yapılarına erişime ve tehditleri etkili bir şekilde tespit etmek için yeterli bağlama ihtiyacınız var.” Dedi.
“Birçok satıcı en basit yolu alır: doğrudan sistem çağrılarına takılmak. Bu yaklaşım hızlı görünürlük sunmakla birlikte, sınırlamalarla birlikte gelir. En önemlisi, sistem çağrılarının çağrılması her zaman garanti edilmez. Onları tamamen atlayabilen IO_uring, olumlu ve harika bir örnektir.”