¿Pensabas que Linux era impenetrable? Yo también. Pero lo que acaba de descubrir ARMO, la empresa detrás de Kubescape, sacude por completo esa confianza.
Han desarrollado un rootkit funcional llamado “Curing”,
y lo más aterrador es que usa una función legítima del núcleo de Linux,
llamada io_uring, para hacer cosas maliciosas sin que las herramientas de
seguridad se den cuenta.
Durante años, los sistemas de seguridad en Linux han
confiado en una estrategia clave: monitorear las llamadas al sistema (system
calls). Es lo que hacen herramientas como eBPF, celebradas por su
flexibilidad y poder. Pero hay un problema: los atacantes ya encontraron la
manera de esquivar por completo ese tipo de vigilancia.
El rootkit Curing no necesita usar las llamadas
tradicionales que tanto se monitorean. En lugar de eso, se apoya en io_uring,
una característica del kernel de Linux que existe desde hace años. ¿Resultado?
Puede establecer conexiones de red, modificar archivos y realizar acciones
peligrosas sin activar ninguna alarma.
El hecho de que io_uring estuviera ahí desde hace tiempo y nadie
lo haya explotado hasta ahora es inquietante. Significa que miles de
servidores podrían estar completamente expuestos sin saberlo. Y ahora que este
rootkit está disponible públicamente, los ciberdelincuentes ya tienen en sus
manos la llave maestra para abrir esa puerta trasera.
¿Hay alguna solución?
Según ARMO, su sistema Cloud Application Detection &
Response (CADR) sí puede detener este tipo de ataques, ya que permite desactivar
llamadas como io_uring si no son necesarias. Su sistema automatizado de
perfiles Seccomp ayuda a reducir el riesgo, cerrando el acceso a esos rincones
oscuros del sistema.
Si sigues dependiendo de herramientas que solo monitorean
llamadas al sistema, tu infraestructura Linux podría tener un agujero enorme y
silencioso en su defensa. Gracias al descubrimiento de ARMO, ese punto ciego ya
no es un secreto… pero los atacantes también lo saben.
Cómo la curiosidad de un ingeniero nos salvó de un ciberataque sin precedentes