Vulnerabilidad del Kernel de Linux: rootkit io_uring elude la seguridad tradicional
Una nueva investigación revela un rootkit de Linux, "Curing", que aprovecha la función io_uring del kernel para eludir sigilosamente muchas herramientas de seguridad existentes. Curing utiliza io_uring para actividades maliciosas, como conexiones de red o manipulación de archivos, sin activar alarmas en los mecanismos de seguridad basados en el monitoreo de llamadas al sistema. Esto es particularmente peligroso para las herramientas basadas en eBPF, que a menudo solo monitorean las llamadas al sistema, ignorando io_uring. El descubrimiento representa una seria amenaza para las empresas nativas de la nube que dependen de estos sistemas de detección. La solución CADR de ARMO puede bloquear este tipo de ataques; su administración automática de perfiles Seccomp permite deshabilitar llamadas al sistema innecesarias, como io_uring.