- Une surveillance de la sécurité à Linux permet à Rootkits de contourner les solutions de sécurité d’entreprise et d’exécuter furtivement
- Il a été trouvé dans l’interface du noyau io_uring
- Les chercheurs ont construit un POC, maintenant disponible sur Github
Des chercheurs en cybersécurité d’Armo ont récemment découvert une surveillance de la sécurité à Linux qui permet à Rootkits de contourner les solutions de sécurité d’entreprise et d’exécuter furtivement des critères de terminaison affectés.
La surveillance se produit parce que l’interface du noyau «IO_URING» est ignorée par les outils de surveillance de la sécurité. Construit en tant que moyen plus rapide et plus efficace pour les systèmes Linux de parler aux périphériques de stockage, IO_URING aide les ordinateurs modernes à gérer de nombreuses informations sans se faire embourber. Il a été introduit en 2019, avec la sortie de Linux 5.1.
Apparemment, la plupart des outils de sécurité recherchent des systèmes ombragés et accrochent le blanc en ignorant complètement tout ce qui implique io_uring. Étant donné que l’interface prend en charge de nombreuses opérations à travers 61 types d’OPS, il crée un point mort dangereux qui peut être exploité à des fins malveillantes. Entre autres choses, les opérations prises en charge incluent la lecture / les écritures, la création et l’acceptation des connexions réseau, la modification des autorisations de fichiers, etc.
Selon BleepingComputer, le risque est si grand que Google l’a désactivé par défaut à Android et Chromeos, qui utilise le noyau Linux.
Deuxième augmentation
Pour démontrer le défaut, Armo a construit un rootkit de preuve de concept (POC) appelé «durcissement». Il peut extraire des instructions d’un serveur distant et exécuter des commandes arbitraires sans déclencher des crochets syscall. Ils l’ont ensuite testé contre des outils de sécurité d’exécution populaires et ont déterminé que la plupart d’entre eux ne pouvaient pas le détecter.
Les chercheurs affirment que Falco était complètement inconscient du durcissement, tandis que Tetragon n’a pas pu le signaler sous des configurations par défaut. Cependant, les développeurs de ce dernier ont déclaré aux chercheurs qu’ils ne considéraient pas la plate-forme vulnérable car la surveillance peut être permis de détecter le rootkit.
“Nous avons signalé cela à l’équipe Tetragon et leur réponse a été que de leur point de vue, le tétragon n’est pas” vulnérable “car ils offrent la flexibilité d’accrocher essentiellement n’importe où”, ont-ils déclaré. “Ils ont souligné un bon article de blog qu’ils ont écrit sur le sujet.”
Armo a également déclaré qu’ils avaient testé l’outil contre les programmes commerciaux sans nom et confirmé que les logiciels malveillants en abus d’iO_URAGE n’étaient pas détectés. Le durcissement est désormais disponible gratuitement sur GitHub.
Via Bleepingcomputer
