Linux-Kernel-Schwachstelle: io_uring-Rootkit umgeht herkömmliche Sicherheitsmaßnahmen
Eine neue Forschung enthüllt ein Linux-Rootkit namens "Curing", das die Kernel-Funktion io_uring nutzt, um viele bestehende Sicherheitswerkzeuge heimlich zu umgehen. Curing verwendet io_uring für bösartige Aktivitäten wie Netzwerkverbindungen oder Dateimanipulationen, ohne Alarme in auf Systemruf-Überwachung basierenden Sicherheitsmechanismen auszulösen. Dies ist besonders gefährlich für eBPF-basierte Tools, die oft nur Systemrufe überwachen und io_uring ignorieren. Die Entdeckung stellt eine ernsthafte Bedrohung für Cloud-native Unternehmen dar, die auf diese Detektionssysteme angewiesen sind. Die CADR-Lösung von ARMO kann solche Angriffe blockieren; ihre automatische Seccomp-Profilverwaltung ermöglicht das Deaktivieren unnötiger Systemaufrufe wie io_uring.