Lector de slashdot espiral compartido Informe de este informe:
Se ha publicado un programa de prueba de concepto para demostrar cómo algunos antivirus de Linux y otras herramientas de protección de punto final utilizan la interfaz IO_IRT del núcleo para demostrar lo que se llama monitorear «puntos ciegos».
Eso interfaz Permite que las aplicaciones realicen solicitudes de IO sin usar llamadas de sistema tradicionales [to enhance performance by enabling asynchronous I/O operations between user space and the Linux kernel through shared ring buffers]. Este es un problema con las herramientas de seguridad que dependen del monitoreo de SYSCall para detectar amenazas. [which] Se pueden perder cambios que se están pasando a través de la cola Io_uring.
Para probar esto, la tienda de seguridad Armo construyó una prueba de concepto llamada curting, que vive completamente a través de io_iring. Dado que evita las llamadas del sistema, el programa obviamente no se descubre en la configuración predeterminada por herramientas que incluyen Falco, Tetragon y Microsoft Defender. Armo afirma que este es el «punto ciego principal» en la pila de seguridad de Linux … «No muchas compañías lo usan, pero no necesita usarlo para hacer que los atacantes lo usen como habilitado de forma predeterminada en la mayoría de los sistemas de Linux, lo que podría ser decenas de miles de servidores», dijo el CEO de ARMO, Shauli Rozen, a The Registro. «Si no usas io_uring, desactívelo, pero no siempre es fácil para los proveedores de la nube».
