Linux Beveiligingslek !

Linux 'io_uring' Beveiligingslek: Een Onzichtbare Bedreiging voor Rootkits

In de wereld van Linux-beveiliging is er recentelijk een aanzienlijke kwetsbaarheid aan het licht gekomen die voortkomt uit de 'io_uring' interface. Deze zwakte stelt rootkits in staat om ongemerkt op systemen te opereren, terwijl ze geavanceerde beveiligingssoftware voor ondernemingen omzeilen. Dit verontrustende probleem werd ontdekt door onderzoekers van ARMO, die een proof-of-concept rootkit genaamd "Curing" ontwikkelden om de haalbaarheid van aanvallen die gebruikmaken van io_uring voor evasietactieken aan te tonen.

Wat is io_uring?

io_uring is een interface in de Linux-kernel die is ontworpen voor efficiënte, asynchrone I/O-operaties. Het werd geïntroduceerd in 2019 met Linux versie 5.1, met als doel de prestatie- en schaalbaarheidsproblemen van het traditionele I/O-systeem aan te pakken. In plaats van te vertrouwen op systeemoproepen die veel overhead en procesblokkeringen veroorzaken, maakt io_uring gebruik van ringbuffers die gedeeld worden tussen programma's en de systeemkernel. Dit stelt de applicatie in staat om I/O-verzoeken asynchroon in te dienen, waardoor deze kan blijven draaien zonder onderbrekingen.

De Beveiligingskwestie

Volgens ARMO ontstaat het probleem doordat de meeste beveiligingstools zich richten op verdachte systeemoproepen en hooking-technieken (zoals 'ptrace' of 'seccomp'), terwijl ze alles wat met io_uring te maken heeft volledig negeren. Dit creëert een gevaarlijk blinde vlek in de beveiliging. De onderzoekers wijzen erop dat io_uring een breed scala aan operaties ondersteunt via 61 verschillende operatietypes, waaronder het lezen en schrijven van bestanden, het creëren en accepteren van netwerkverbindingen, het opstarten van processen, het wijzigen van bestandspermissies en het lezen van directory-inhoud. Dit maakt het een krachtige vector voor rootkits.

De ernst van deze kwetsbaarheid werd zo groot dat Google besloot io_uring standaard uit te schakelen op Android en ChromeOS, die gebruikmaken van de Linux-kernel en veel van de onderliggende kwetsbaarheden erven.

Curing: Een Bewijs van Concept

Om de theorie in de praktijk te toetsen, ontwikkelde ARMO Curing, een speciaal ontworpen rootkit die misbruik maakt van io_uring om commando's van een externe server te trekken en willekeurige operaties uit te voeren zonder de systeemoproep-hooks te activeren. Testen met Curing tegen verschillende bekende runtime-beveiligingstools toonden aan dat de meeste van deze tools de activiteit niet konden detecteren. In het bijzonder bleek Falco volledig blind te zijn, zelfs wanneer aangepaste detectieregels werden gebruikt, terwijl Tetragon niet in staat was om kwaadaardige activiteiten te signaleren onder de standaardconfiguratie.

Desondanks beschouwt Tetragon zijn platform niet als kwetsbaar, aangezien monitoring kan worden ingeschakeld om deze rootkit te detecteren. "We hebben dit gerapporteerd aan het Tetragon-team, en hun reactie was dat Tetragon vanuit hun perspectief niet 'kwetsbaar' is, omdat ze de flexibiliteit bieden om praktisch overal hooks aan te brengen," aldus de onderzoekers. "Ze verwezen naar een goed blogbericht dat ze over het onderwerp hebben geschreven."

Commerciële Tools en Detectie

Bij het testen tegen commerciële tools bevestigde ARMO verder de onmogelijkheid om io_uring-gebaseerde malware en kernelinteracties die geen systeemoproepen omvatten, te detecteren. ARMO heeft echter niet gedeeld welke commerciële programma's ze hebben getest.

Voor degenen die hun omgevingen tegen deze bedreiging willen testen, heeft ARMO Curing gratis beschikbaar gesteld op GitHub. ARMO suggereert dat het probleem kan worden opgelost door de adoptie van Kernel Runtime Security Instrumentation (KRSI), waarmee eBPF-programma's kunnen worden gekoppeld aan beveiligingsrelevante kernelgebeurtenissen.

Conclusie

De ontdekking van deze kwetsbaarheid in io_uring benadrukt de noodzaak voor voortdurende innovatie en verbetering in beveiligingstools en -technieken. Het is cruciaal dat ontwikkelaars en beveiligingsteams zich bewust zijn van deze nieuwe dreigingen en hun systemen adequaat beschermen tegen mogelijke aanvallen. De tijd om te handelen is nu; de toekomst van Linux-beveiliging hangt ervan af.