Vulnérabilité du noyau Linux : un rootkit io_uring contourne la sécurité traditionnelle
Une nouvelle recherche révèle un rootkit Linux, "Curing", qui exploite la fonctionnalité io_uring du noyau pour contourner furtivement de nombreux outils de sécurité existants. Curing utilise io_uring pour des activités malveillantes telles que les connexions réseau ou la falsification de fichiers, sans déclencher d'alarmes dans les mécanismes de sécurité basés sur la surveillance des appels système. Ceci est particulièrement dangereux pour les outils basés sur eBPF, qui ne surveillent souvent que les appels système, ignorant io_uring. Cette découverte représente une menace sérieuse pour les entreprises natives du cloud qui dépendent de ces systèmes de détection. La solution CADR d'ARMO peut bloquer ce type d'attaques ; sa gestion automatique des profils Seccomp permet de désactiver les appels système inutiles, tels que io_uring.