Содержимое
Невидимка Раскрыли серьезную уязвимость в инструментах безопасности Linux. На этот раз все дело в механизме io_uring, полностью обходящем мониторинг системных вызовов. Асинхронный интерфейс io_uring позволяет приложениям выполнять различные действия в обход традиционных syscall. Из-за этого большинство инструментов безопасности, включая Falco, Tetragon и Microsoft Defender, оказались слепы к вредоносной активности. Исследователи создали POC-руткит, работающий полностью через io_uring. Их эксперименты показали, что в то время как классические вредоносы легко блокируются, руткит на io_uring остается невидимым для большинства систем мониторинга. Проблема затрагивает практически все инструменты безопасности, использующие eBPF для наблюдения за системными вызовами. Хотя некоторые вендоры уже выпустили исправления, отрасль в целом пока остается уязвимой к таким атакам. НеКасперский