Google отключает io_uring: в Linux выявлена угроза обхода защиты

Новое исследование в области кибербезопасности выявило в ядре Linux потенциально опасный механизм, который позволяет вредоносным программам действовать незаметно для стандартных систем защиты. Проблема связана с интерфейсом ввода-вывода io_uring, предназначенным для ускорения работы с данными.

Специалисты компании ARMO установили, что многие средства мониторинга активности в Linux практически не отслеживают операции через io_uring. В отличие от традиционных системных вызовов, этот интерфейс позволяет выполнять широкий набор действий — от файловых операций до управления сетевыми соединениями — без фиксации в привычных каналах наблюдения.

В рамках эксперимента команда разработала руткит Curing, использующий io_uring для незаметного получения команд и выполнения операций на системе. При тестировании обнаружилось, что популярные средства безопасности, включая Falco и ряд коммерческих решений, не могут эффективно выявить такую активность без предварительной донастройки.

Результаты исследования вызвали обеспокоенность среди разработчиков операционных систем. В частности, Google принял решение по умолчанию отключить поддержку io_uring в Android и ChromeOS для снижения риска несанкционированного доступа.

Исследователи отмечают, что проблема кроется не в ошибке реализации io_uring, а в архитектуре современных решений для отслеживания угроз: они недостаточно адаптированы к новым способам взаимодействия с ядром системы.

Исходный код демонстрационного руткита был опубликован на GitHub с целью привлечения внимания разработчиков и производителей средств безопасности к необходимости адаптации методов мониторинга к современным вызовам.

По мнению специалистов, инцидент с io_uring подчёркивает важность постоянного пересмотра подходов к защите систем, особенно с учётом активного развития новых интерфейсов и технологий в ядре Linux.