Эксперты по кибербезопасности из компании ARMO разработали демонстрационную утилиту под названием Curing, которая показывает уязвимость в методах защиты Linux-систем. Программа использует интерфейс ядра io_uring, позволяющий обходить традиционные средства мониторинга, основанные на отслеживании системных вызовов.
io_uring был внедрён в ядро Linux начиная с версии 5.1 (выпущенной в 2019 году) для ускорения ввода-вывода за счёт асинхронной передачи данных между пользовательским пространством и ядром. В отличие от классических операций, он не требует явных системных вызовов для каждого действия, а использует кольцевые буферы, через которые ядро получает и обрабатывает задания.
Такой подход создает «слепую зону» для большинства средств защиты, включая Falco, Tetragon и Microsoft Defender, которые по умолчанию полагаются на перехват системных вызовов. Программа Curing, полностью использующая io_uring, осталась незамеченной этими решениями, что подчеркивает потенциальную угрозу.
ARMO отмечает, что эта архитектурная особенность представляет собой серьёзную брешь в системе безопасности Linux. Хотя io_uring пока используется не повсеместно, он включён по умолчанию во многих Linux-дистрибутивах и может быть активен на тысячах серверов, включая облачные среды.
Генеральный директор ARMO Шаули Розен прокомментировал: «Немногие компании используют его, но вам и не нужно это, чтобы злоумышленник мог воспользоваться интерфейсом, поскольку он включён по умолчанию в большинстве систем Linux, потенциально на десятках тысяч серверов.Если вы не используете io_uring, то отключите его, но это не всегда просто в случае с поставщиками облачных услуг».
В феврале «Лаборатория Касперского» представила антивирус Kaspersky для Linux, предназначенный для домашних пользователей. Решение обеспечивает защиту персональных и платёжных данных от различных киберугроз, включая вредоносное ПО, фишинг и мошеннические схемы. Программа совместима с дистрибутивами Linux на базе Ubuntu, ALT Linux, Uncom и RedOS.
io_uring был внедрён в ядро Linux начиная с версии 5.1 (выпущенной в 2019 году) для ускорения ввода-вывода за счёт асинхронной передачи данных между пользовательским пространством и ядром. В отличие от классических операций, он не требует явных системных вызовов для каждого действия, а использует кольцевые буферы, через которые ядро получает и обрабатывает задания.
Такой подход создает «слепую зону» для большинства средств защиты, включая Falco, Tetragon и Microsoft Defender, которые по умолчанию полагаются на перехват системных вызовов. Программа Curing, полностью использующая io_uring, осталась незамеченной этими решениями, что подчеркивает потенциальную угрозу.
ARMO отмечает, что эта архитектурная особенность представляет собой серьёзную брешь в системе безопасности Linux. Хотя io_uring пока используется не повсеместно, он включён по умолчанию во многих Linux-дистрибутивах и может быть активен на тысячах серверов, включая облачные среды.
Генеральный директор ARMO Шаули Розен прокомментировал: «Немногие компании используют его, но вам и не нужно это, чтобы злоумышленник мог воспользоваться интерфейсом, поскольку он включён по умолчанию в большинстве систем Linux, потенциально на десятках тысяч серверов.Если вы не используете io_uring, то отключите его, но это не всегда просто в случае с поставщиками облачных услуг».
В феврале «Лаборатория Касперского» представила антивирус Kaspersky для Linux, предназначенный для домашних пользователей. Решение обеспечивает защиту персональных и платёжных данных от различных киберугроз, включая вредоносное ПО, фишинг и мошеннические схемы. Программа совместима с дистрибутивами Linux на базе Ubuntu, ALT Linux, Uncom и RedOS.
