Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il problema nel runtime Linux è correlato all’interfaccia io_uring e consente ai rootkit di passare inosservati, aggirando i moderni strumenti di sicurezza aziendale. Questa caratteristica è stata scoperta dai ricercatori di ARMO, che hanno creato un rootkit proof-of-concept chiamato Curing, che dimostra gli attacchi utilizzando io_uring.
io_uring è un’interfaccia del kernel Linux per operazioni di I/O asincrone. È stato introdotto nel 2019 in Linux 5.1 per risolvere i problemi di prestazioni e scalabilità nel sistema I/O tradizionale.
Invece di affidarsi a chiamate di sistema che causano carichi pesanti e portano al blocco dei processi, io_uring utilizza buffer ad anello condivisi tra i programmi e il kernel di sistema e mette in coda le richieste di I/O in modo che possano essere elaborate in modo asincrono.
Secondo i ricercatori, il problema si verifica perché la maggior parte degli strumenti di sicurezza monitora le chiamate di sistema e gli hook sospetti (come ptrace o seccomp), ma ignora completamente tutto ciò che riguarda io_uring, creando un pericoloso “punto cieco” nel sistema.
Gli esperti spiegano che io_uring supporta un’ampia gamma di operazioni, tra cui la lettura e la scrittura di file, la creazione e l’accettazione di connessioni di rete, l’avvio di processi, la modifica dei permessi dei file e la lettura del contenuto delle directory, il che lo rende uno strumento potente, soprattutto quando si tratta di rootkit. I rischi erano così grandi che gli sviluppatori di Google decisero di disabilitare io_uring di default su Android e ChromeOS.
Per mettere alla prova la loro teoria, ARMO ha sviluppato Curing, un rootkit che utilizza io_uring per ricevere comandi da un server remoto ed eseguire operazioni arbitrarie senza richiamare chiamate di sistema. I test di Curing con diverse soluzioni di sicurezza note hanno dimostrato che la maggior parte di esse non era in grado di rilevarne l’attività.
Inoltre, ARMO riferisce di aver testato strumenti commerciali e di aver confermato la loro incapacità di rilevare malware tramite io_uring. Tuttavia, i ricercatori non hanno rivelato quali soluzioni commerciali sono state testate. Per coloro che desiderano testare la resilienza dei propri ambienti contro tali minacce, ARMO ha già ospitato Curing su GitHub .
I ricercatori ritengono che il problema possa essere risolto utilizzando Kernel Runtime Security Instrumentation (KRSI), che consentirà di collegare i programmi eBPF agli eventi del kernel correlati alla sicurezza.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]