Linux의 심각한 보안 취약점: io_uring을 이용한 Rootkit의 보안 도구 우회
2025-04-24
ARMO 연구원들은 Linux의 io_uring 비동기 I/O 인터페이스에 심각한 취약성이 있음을 발견했습니다. 이로 인해 Falco, Tetragon, Microsoft Defender 등 대부분의 런타임 보안 도구가 이를 악용하는 Rootkit을 감지하지 못합니다. 공격자는 io_uring을 이용하여 시스템 호출 모니터링을 우회하고 은밀하게 작업을 수행할 수 있습니다. ARMO의 개념 증명 Rootkit인 "Curing"은 io_uring만을 사용하여 작동함으로써 이 취약성의 심각성을 보여줍니다. 일부 공급업체는 수정 프로그램을 출시했지만 광범위한 취약성이 여전히 남아 있습니다. 이 연구는 보안 공급업체가 KRSI와 같은 메커니즘을 채택하여 감지 기능을 향상시켜야 함을 강조합니다.
기술