اکثر کاربران لینوکس بر این باورند که ابزارهای امنیتیشان پیش از آنکه آسیبی وارد شود، فعالیتهای مخرب را شناسایی و متوقف میکنند — اما پژوهشهای جدید نشان میدهد که این اعتماد ممکن است بیپایه باشد. شرکت ARMO، توسعهدهندهی ابزار امنیتی Kubescape، بهتازگی یکی از بزرگترین نقاط کور در امنیت لینوکس را شناسایی کرده است. این شرکت یک روتکیت عملیاتی با نام Curing منتشر کرده که با بهرهگیری از قابلیت io_uring در هستهی لینوکس، قادر است بهصورت پنهانی عملیات مخرب انجام دهد؛ آن هم بدون آنکه توسط بسیاری از راهکارهای امنیتی فعلی شناسایی شود.
مسئلهی اصلی، تکیهی شدید ابزارهای امنیتی بر نظارت بر فراخوانیهای سیستمی (System Calls) است — روشی رایج که بسیاری از فروشندگان محصولات امنیتی به آن اتکا دارند. مشکل از آنجاست که مهاجمان میتوانند با استفاده از io_uring، بهطور کامل این فراخوانیهای پایششده را دور بزنند. این روش هوشمندانه به مهاجمان اجازه میدهد تا بیسروصدا به شبکه متصل شوند یا فایلها را دستکاری کنند، بدون آنکه هشدار خاصی فعال شود.
یافتههای ARMO بهویژه برای طرفداران ابزارهای امنیتی مبتنی بر eBPF نگرانکننده است. با وجود قدرت و انعطافپذیری eBPF، تکیهی صرف بر مانیتورینگ فراخوانیهای سیستمی در مواجهه با io_uring یک نقطهضعف جدی ایجاد میکند. با توجه به سلطهی لینوکس در محیطهای Cloud-Native، این آسیبپذیری میتواند پیامدهای گستردهای برای کسبوکارهایی داشته باشد که به چنین سیستمهایی متکی هستند.
نگرانکنندهتر اینکه، io_uring سالهاست که بخشی از هستهی لینوکس بوده؛ با این حال، اینکه تا به حال روتکیتی کامل برای سوءاستفاده از آن توسعه نیافته بود، تعجببرانگیز است. اکنون با انتشار عمومی Curing، تیمهای امنیتی میتوانند بررسی کنند که آیا دفاعهای آنها در برابر این حمله مقاوم است یا خیر.
به گفتهی ARMO، راهکار Cloud Application Detection & Response (CADR) این شرکت میتواند این نوع حملههای پنهان را مسدود کند. ابزار مدیریت خودکار Seccomp Profile آن نیز به کاربران امکان میدهد تا در صورت عدم نیاز، فراخوانیهایی مانند io_uring را غیرفعال کنند و از این طریق، مسیر این نوع سوءاستفاده را ببندند.
جمعبندی:
اگر همچنان معماری امنیتی لینوکس شما فقط بر نظارت سنتی فراخوانیهای سیستمی تکیه دارد، ممکن است عملاً دری پنهان برای مهاجمان باز گذاشته باشید. حالا، با پژوهش ARMO، این درِ پنهان آشکار شده — و چهبسا مهاجمان پیش از شما آن را دیده باشند.
منبع: https://betanews.com/2025/04/24/hackers-bypass-linux-security-with-armo-curing-rootkit/
