Хакеры научились обходить защиту Linux с помощью нового устрашающего корневого набора инструментов.

Компания ARMO, разработчик Kubescape, обнаружила серьезную уязвимость в системе безопасности Linux, которая может стать одной из самых значительных "слепых зон" на сегодняшний день. Специалисты компании создали рабочий руткит под названием "Curing", использующий io_uring – функциональность, встроенную в ядро Linux – для скрытного выполнения вредоносных действий, которые не обнаруживаются многими существующими решениями для обнаружения угроз.

В основе проблемы лежит широкое распространение мониторинга системных вызовов как основного метода, используемого многими поставщиками в сфере кибербезопасности. Однако злоумышленники могут полностью обойти эти контролируемые вызовы, используя io_uring. Этот изящный подход позволяет злоумышленникам незаметно устанавливать сетевые соединения или изменять файлы, не вызывая обычных предупреждений.