บทความนี้กล่าวถึงช่องโหว่ด้านความปลอดภัยในระบบ Linux ที่ถูกเปิดเผยโดยบริษัท Armo ซึ่งเป็นผู้ให้บริการด้านความปลอดภัยบนคลาวด์และ Kubernetes โดย Armo ได้สร้าง Proof-of-Concept (PoC) rootkit ที่ชื่อว่า Curing เพื่อแสดงให้เห็นถึงข้อจำกัดของเครื่องมือรักษาความปลอดภัยในระบบ Linux เช่น Falco, Tetragon และ Microsoft Defender
Curing ใช้ io_uring Linux kernel interface ซึ่งช่วยให้แอปพลิเคชันสามารถดำเนินการต่างๆ โดยไม่ต้องใช้ system calls ทำให้เครื่องมือรักษาความปลอดภัยที่พึ่งพาการตรวจสอบ system calls ไม่สามารถตรวจจับ rootkits ที่ใช้ io_uring ได้
Armo ระบุว่าปัญหานี้เกิดจากการพึ่งพา Extended Berkeley Packet Filter (eBPF) ซึ่งเป็นวิธีการตรวจสอบ system calls ที่มีข้อจำกัดในการตรวจจับภัยคุกคามที่ใช้เทคนิคใหม่ๆ เช่น io_uring นอกจากนี้ Armo ยังเรียกร้องให้ผู้พัฒนาเครื่องมือรักษาความปลอดภัยปรับปรุงการออกแบบให้รองรับฟีเจอร์ใหม่ใน Linux kernel และสามารถตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพ
✅ Proof-of-Concept (PoC) rootkit
- Armo สร้าง PoC rootkit ที่ชื่อว่า Curing เพื่อแสดงข้อจำกัดของเครื่องมือรักษาความปลอดภัย
- Curing ใช้ io_uring Linux kernel interface เพื่อหลีกเลี่ยงการตรวจจับ
✅ ข้อจำกัดของเครื่องมือรักษาความปลอดภัย
- Falco ไม่สามารถตรวจจับ Curing ได้
- Microsoft Defender ไม่สามารถตรวจจับ Curing และมัลแวร์ทั่วไปได้
- Tetragon สามารถตรวจจับ io_uring ได้ แต่ต้องใช้ Kprobes และ LSM hooks ซึ่งไม่ได้เปิดใช้งานโดยค่าเริ่มต้น
✅ การเรียกร้องให้ปรับปรุงการออกแบบ
- Armo เรียกร้องให้ผู้พัฒนาเครื่องมือรักษาความปลอดภัยปรับปรุงการออกแบบให้รองรับฟีเจอร์ใหม่ใน Linux kernel
- แนะนำให้ตรวจสอบการใช้งาน io_uring ที่ผิดปกติ
✅ ผลกระทบต่อระบบ Linux
- io_uring สามารถถูกใช้เป็นช่องทางเข้าสู่ kernel ที่อาจถูกโจมตี
https://www.csoonline.com/article/3971170/proof-of-concept-bypass-shows-weakness-in-linux-security-tools-claims-israeli-vendor.html
Curing ใช้ io_uring Linux kernel interface ซึ่งช่วยให้แอปพลิเคชันสามารถดำเนินการต่างๆ โดยไม่ต้องใช้ system calls ทำให้เครื่องมือรักษาความปลอดภัยที่พึ่งพาการตรวจสอบ system calls ไม่สามารถตรวจจับ rootkits ที่ใช้ io_uring ได้
Armo ระบุว่าปัญหานี้เกิดจากการพึ่งพา Extended Berkeley Packet Filter (eBPF) ซึ่งเป็นวิธีการตรวจสอบ system calls ที่มีข้อจำกัดในการตรวจจับภัยคุกคามที่ใช้เทคนิคใหม่ๆ เช่น io_uring นอกจากนี้ Armo ยังเรียกร้องให้ผู้พัฒนาเครื่องมือรักษาความปลอดภัยปรับปรุงการออกแบบให้รองรับฟีเจอร์ใหม่ใน Linux kernel และสามารถตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพ
✅ Proof-of-Concept (PoC) rootkit
- Armo สร้าง PoC rootkit ที่ชื่อว่า Curing เพื่อแสดงข้อจำกัดของเครื่องมือรักษาความปลอดภัย
- Curing ใช้ io_uring Linux kernel interface เพื่อหลีกเลี่ยงการตรวจจับ
✅ ข้อจำกัดของเครื่องมือรักษาความปลอดภัย
- Falco ไม่สามารถตรวจจับ Curing ได้
- Microsoft Defender ไม่สามารถตรวจจับ Curing และมัลแวร์ทั่วไปได้
- Tetragon สามารถตรวจจับ io_uring ได้ แต่ต้องใช้ Kprobes และ LSM hooks ซึ่งไม่ได้เปิดใช้งานโดยค่าเริ่มต้น
✅ การเรียกร้องให้ปรับปรุงการออกแบบ
- Armo เรียกร้องให้ผู้พัฒนาเครื่องมือรักษาความปลอดภัยปรับปรุงการออกแบบให้รองรับฟีเจอร์ใหม่ใน Linux kernel
- แนะนำให้ตรวจสอบการใช้งาน io_uring ที่ผิดปกติ
✅ ผลกระทบต่อระบบ Linux
- io_uring สามารถถูกใช้เป็นช่องทางเข้าสู่ kernel ที่อาจถูกโจมตี
https://www.csoonline.com/article/3971170/proof-of-concept-bypass-shows-weakness-in-linux-security-tools-claims-israeli-vendor.html
บทความนี้กล่าวถึงช่องโหว่ด้านความปลอดภัยในระบบ Linux ที่ถูกเปิดเผยโดยบริษัท Armo ซึ่งเป็นผู้ให้บริการด้านความปลอดภัยบนคลาวด์และ Kubernetes โดย Armo ได้สร้าง Proof-of-Concept (PoC) rootkit ที่ชื่อว่า Curing เพื่อแสดงให้เห็นถึงข้อจำกัดของเครื่องมือรักษาความปลอดภัยในระบบ Linux เช่น Falco, Tetragon และ Microsoft Defender
Curing ใช้ io_uring Linux kernel interface ซึ่งช่วยให้แอปพลิเคชันสามารถดำเนินการต่างๆ โดยไม่ต้องใช้ system calls ทำให้เครื่องมือรักษาความปลอดภัยที่พึ่งพาการตรวจสอบ system calls ไม่สามารถตรวจจับ rootkits ที่ใช้ io_uring ได้
Armo ระบุว่าปัญหานี้เกิดจากการพึ่งพา Extended Berkeley Packet Filter (eBPF) ซึ่งเป็นวิธีการตรวจสอบ system calls ที่มีข้อจำกัดในการตรวจจับภัยคุกคามที่ใช้เทคนิคใหม่ๆ เช่น io_uring นอกจากนี้ Armo ยังเรียกร้องให้ผู้พัฒนาเครื่องมือรักษาความปลอดภัยปรับปรุงการออกแบบให้รองรับฟีเจอร์ใหม่ใน Linux kernel และสามารถตรวจจับภัยคุกคามได้อย่างมีประสิทธิภาพ
✅ Proof-of-Concept (PoC) rootkit
- Armo สร้าง PoC rootkit ที่ชื่อว่า Curing เพื่อแสดงข้อจำกัดของเครื่องมือรักษาความปลอดภัย
- Curing ใช้ io_uring Linux kernel interface เพื่อหลีกเลี่ยงการตรวจจับ
✅ ข้อจำกัดของเครื่องมือรักษาความปลอดภัย
- Falco ไม่สามารถตรวจจับ Curing ได้
- Microsoft Defender ไม่สามารถตรวจจับ Curing และมัลแวร์ทั่วไปได้
- Tetragon สามารถตรวจจับ io_uring ได้ แต่ต้องใช้ Kprobes และ LSM hooks ซึ่งไม่ได้เปิดใช้งานโดยค่าเริ่มต้น
✅ การเรียกร้องให้ปรับปรุงการออกแบบ
- Armo เรียกร้องให้ผู้พัฒนาเครื่องมือรักษาความปลอดภัยปรับปรุงการออกแบบให้รองรับฟีเจอร์ใหม่ใน Linux kernel
- แนะนำให้ตรวจสอบการใช้งาน io_uring ที่ผิดปกติ
✅ ผลกระทบต่อระบบ Linux
- io_uring สามารถถูกใช้เป็นช่องทางเข้าสู่ kernel ที่อาจถูกโจมตี
https://www.csoonline.com/article/3971170/proof-of-concept-bypass-shows-weakness-in-linux-security-tools-claims-israeli-vendor.html
0 Comments
0 Shares
37 Views
0 Reviews
Thai