Linuxカーネルの脆弱性:io_uringルートキットが従来のセキュリティ対策を回避
2025-04-24
最近の研究で、「Curing」というLinuxルートキットが、カーネルのio_uring機能を利用して、多くの既存のセキュリティツールをこっそり回避することが明らかになりました。Curingは、io_uringを使用して、ネットワーク接続やファイルの改ざんなどの悪意のあるアクティビティを実行しますが、システムコール監視ベースのセキュリティメカニズムのアラートはトリガーしません。これは、システムコールのみを監視し、io_uringを無視することが多いeBPFベースのツールにとって特に危険です。この発見は、これらの検出システムに依存するクラウドネイティブ企業にとって深刻な脅威となります。ARMOのCADRソリューションは、このような攻撃を阻止できます。その自動Seccompプロファイル管理機能により、io_uringなど、不要なシステムコールを無効にできます。
テクノロジー