Un preocupante error de seguridad en Linux podría comprometer tus sistemas.
Un núcleo de Linux, desactivado en Android y ChromeOS, está generando problemas.
Investigadores de ciberseguridad han identificado una vulnerabilidad en Linux que permite a los rootkits eludir las soluciones de seguridad empresarial, ejecutándose de manera encubierta en los dispositivos afectados. Este problema radica en la interfaz del Kernel conocida como ‘io_uring’, la cual no es monitoreada por las herramientas de seguridad convencionales. Esta interfaz, diseñada para facilitar la comunicación entre los sistemas Linux y los dispositivos de almacenamiento de forma más rápida y eficiente, se introdujo en 2019 con la versión 5.1 de Linux.
La mayoría de las herramientas de seguridad se enfocan en identificar llamadas al sistema sospechosas, ignorando cualquier actividad que involucre a io_uring. Al soportar 61 tipos de operaciones, esta interfaz crea un punto ciego peligroso que puede ser explotado para fines maliciosos, incluyendo operaciones de lectura/escritura, creación y aceptación de conexiones en red y modificación de permisos de archivos, entre otros.
Dada la magnitud del riesgo, se ha reportado que Google desactivó esta funcionalidad por defecto en Android y ChromeOS, sistemas que utilizan el núcleo de Linux. Para demostrar la vulnerabilidad, ARMO desarrolló un rootkit de prueba, conocido como “Curing”, que puede recibir instrucciones desde un servidor remoto y ejecutar comandos arbitrarios sin activar ganchos de llamadas al sistema. Al ser puesto a prueba contra herramientas de seguridad en tiempo de ejecución, la mayoría no pudieron detectarlo.
Los investigadores informaron que Falco no reconoció en absoluto a Curing, mientras que Tetragon no logró marcar su actividad bajo las configuraciones predeterminadas. Sin embargo, los desarrolladores de Tetragon sostienen que no consideran a su plataforma vulnerable, ya que la opción de monitoreo puede habilitarse para detectar el rootkit. ARMO también realizó pruebas con programas comerciales no especificados, constatando que el malware que abusa de io_uring no era detectado. El rootkit Curing está disponible de manera gratuita en GitHub.
