Vulnerabilidade do Kernel Linux: rootkit io_uring ignora a segurança tradicional
Uma nova pesquisa revela um rootkit Linux, "Curing", que utiliza o recurso io_uring do kernel para contornar furtivamente muitas ferramentas de segurança existentes. O Curing usa io_uring para atividades maliciosas, como conexões de rede ou adulteração de arquivos, sem disparar alarmes em mecanismos de segurança baseados em monitoramento de chamadas de sistema. Isso é particularmente perigoso para ferramentas baseadas em eBPF, que geralmente monitoram apenas chamadas de sistema, ignorando io_uring. A descoberta representa uma ameaça séria para empresas nativas da nuvem que dependem desses sistemas de detecção. A solução CADR da ARMO pode bloquear esses ataques; seu gerenciamento automático de perfil Seccomp permite desabilitar chamadas de sistema desnecessárias, como io_uring.