Falla de seguridad crítica en Linux: io_uring permite que rootkits eludan las herramientas de seguridad
Investigadores de ARMO han descubierto una vulnerabilidad crítica en la interfaz de E/S asincrónica io_uring de Linux, haciendo que la mayoría de las herramientas de seguridad en tiempo de ejecución, incluyendo Falco, Tetragon y Microsoft Defender, sean incapaces de detectar rootkits que la explotan. Los atacantes pueden aprovechar io_uring para eludir el monitoreo de llamadas al sistema, permitiendo operaciones sigilosas. El rootkit de prueba de concepto de ARMO, 'Curing', demuestra la gravedad, operando completamente a través de io_uring. Si bien algunos proveedores han respondido con soluciones, la exposición generalizada persiste. La investigación destaca la necesidad de que los proveedores de seguridad adopten mecanismos como KRSI para capacidades de detección mejoradas.