“Curing” và io_uring: Cửa hậu vô hình trong bảo mật Linux vừa được vạch trần
Phần lớn người dùng Linux vẫn tin tưởng rằng các công cụ bảo mật họ đang sử dụng đủ mạnh để phát hiện và ngăn chặn mọi hành vi xâm nhập trước khi thiệt hại xảy ra. Tuy nhiên, nghiên cứu mới đây từ ARMO, công ty đứng sau giải pháp bảo mật Kubescape, đã khiến niềm tin đó trở nên lung lay. ARMO vừa công bố một rootkit hoạt động thực tế có tên là “Curing”, sử dụng io_uring một tính năng có sẵn trong nhân Linux để âm thầm thực hiện các hành vi độc hại mà nhiều công cụ phát hiện hiện nay hoàn toàn không thể nhận ra.
Vấn đề nằm ở chỗ: phần lớn các giải pháp bảo mật hiện đại đều dựa vào việc giám sát các lời gọi hệ thống (system call) như là tuyến phòng thủ chính. Trong khi đó, io_uring cho phép kẻ tấn công thực hiện các thao tác như tạo kết nối mạng, can thiệp vào tệp tin hoặc tương tác với hệ thống mà không cần thông qua những lời gọi thường bị giám sát. Điều này cho phép mã độc hoạt động một cách lặng lẽ, không để lại dấu vết rõ ràng trong hệ thống giám sát truyền thống.
Phát hiện này đặc biệt đáng báo động đối với những ai đang đặt niềm tin vào các công cụ bảo mật dựa trên eBPF. Dù eBPF vốn được ca ngợi vì khả năng linh hoạt và hiệu suất cao trong giám sát, nhưng nếu chỉ quan sát các lời gọi hệ thống thì rõ ràng đang tồn tại một điểm mù nguy hiểm khi io_uring được sử dụng làm kênh tấn công. Với việc Linux đang thống trị mảng hạ tầng cloud native, lỗ hổng này có thể ảnh hưởng nghiêm trọng đến hàng loạt doanh nghiệp vốn đang phụ thuộc vào các công cụ phát hiện truyền thống.
Đáng chú ý hơn cả, io_uring đã tồn tại trong nhân Linux suốt nhiều năm. Việc chưa từng có ai khai thác tính năng này để phát triển một rootkit hoạt động đầy đủ trước đây là điều gây ngạc nhiên. Và giờ đây, với “Curing” được công khai, các nhóm bảo mật cuối cùng cũng có thể kiểm tra xem hệ thống của mình có đang bị đặt vào tình thế rủi ro hay không.
ARMO cho biết giải pháp Cloud Application Detection & Response (CADR) của họ có thể ngăn chặn loại tấn công kiểu ẩn này. Tính năng quản lý hồ sơ Seccomp tự động cho phép người dùng vô hiệu hóa những lời gọi hệ thống không cần thiết như io_uring, từ đó đóng lại cánh cửa khai thác âm thầm mà “Curing” sử dụng.
Bài học lớn từ nghiên cứu này rất rõ ràng: nếu hệ thống bảo mật Linux của bạn vẫn chỉ dừng lại ở cấp độ giám sát lời gọi hệ thống, rất có thể bạn đang để ngỏ một cánh cửa hậu ngay trong chính hạ tầng của mình. Và từ thời điểm này, cánh cửa đó không còn vô hình nữa các chuyên gia và cả kẻ tấn công đều đã nhìn thấy nó.