Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Curing: un rootkit basado en io_uring deja “ciegas” a muchas soluciones de seguridad en Linux

Curing: un rootkit basado en io_uring deja “ciegas” a muchas soluciones de seguridad en Linux

Por Deja un comentario

Los investigadores de ARMO han publicado Curing, un rootkit de prueba de concepto que opera exclusivamente a través de la interfaz io_uring del kernel.

Al no invocar llamadas al sistema tradicionales, el malware pasa inadvertido para la mayoría de las EDR y herramientas de monitorización que basan sus detecciones en syscalls, incluidas Falco, Tetragon (con configuración por defecto) y varios productos comerciales. El hallazgo pone de relieve un importante punto ciego en la defensa de entornos Linux, justo cuando el mecanismo asíncrono de E/S sigue ganando popularidad.

En términos técnicos, io_uring permite que los procesos coloquen peticiones de I/O (entrada / salida) en un anillo de memoria compartida; el kernel las atiende de forma asíncrona y sólo requiere dos llamadas (io_uring_enter y io_uring_setup). Curing aprovecha esta característica para leer y escribir archivos, establecer conexiones de red o lanzar procesos sin generar los ganchos habituales que rastrean las soluciones de seguridad, de modo que strace apenas muestra actividad fuera de io_uring. El código fuente y la demo están disponibles en GitHub para que los administradores verifiquen sus defensas. Ante este escenario, ARMO recomienda instrumentar ganchos a nivel de LSM mediante KRSI/eBPF y vigilar el uso inesperado de io_uring; no en vano, Google decidió deshabilitarlo por defecto en Android y ChromeOS para contar con un aislamiento más robusto.

Más información:
– io_uring Is Back, This Time as a Rootkit https://www.armosec.io/blog/io_uring-rootkit-bypasses-linux-security/
https://github.com/armosec/curing
– Linux io_uring PoC Rootkit Bypasses System Call-Based Threat Detection Tools https://thehackernews.com/2025/04/linux-iouring-poc-rootkit-bypasses.html
– Linux ‘io_uring’ security blindspot allows stealthy rootkit attacks https://www.bleepingcomputer.com/news/security/linux-io-uring-security-blindspot-allows-stealthy-rootkit-attacks/
– Learnings from kCTF VRP’s 42 Linux kernel exploits submissions https://security.googleblog.com/2023/06/learnings-from-kctf-vrps-42-linux.html

Acerca de Adrián Vidal

Adrián Vidal Ha escrito 29 publicaciones.

Responsable del departamento de auditoría de Hispasec y jugador de CTF en el equipo español Flaggermeister.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.