Linux: Kritische Sicherheitslücke in Kernel-API entdeckt

Im Linux-Kernel lauert seit 2019 eine Schwachstelle. So kann die Kernel-Funktion io_uring genutzt werden, um alle gängigen Sicherheitskontrollen zu umgehen - für vollständigen Root-Zugriff. Selbst führende Sicherheitslösungen sind machtlos.

Gefährliche Sicherheitslücke in Linux entdeckt

Erst vorgestern hatte das BSI eine Sicherheitswarnung zu Nvidia-Treibern unter Linux herausgegeben. Zudem hatte Microsoft Anfang April etliche Sicherheitslücken in Linux-Bootloadern gefunden. Jetzt haben Forscher eine weitere gravierende Schwachstelle in Linux-Systemen identifiziert und ein Rootkit namens "Curing" veröffentlicht, das die meisten modernen Sicherheitslösungen umgehen kann. Das Rootkit nutzt das io_uring-Interface, ein leistungssteigerndes Kernel-Feature, das seit Linux 5.1 (2019) verfügbar ist und eine gefährliche Lücke in der Sicherheitsarchitektur darstellt.

Das Besondere an io_uring ist, dass es Anwendungen ermöglicht, Operationen durchzuführen, ohne die üblichen Systemaufrufe (Syscalls) zu nutzen. Da die meisten Sicherheitstools auf die Überwachung genau dieser Systemaufrufe setzen, entsteht ein blinder Fleck, der für Angreifer ausnutzbar ist.

Warum io_uring so gefährlich ist

Das io_uring-Interface wurde ursprünglich entwickelt, um die Effizienz bei Ein- und Ausgabeoperationen zu verbessern. Statt traditioneller Systemaufrufe, die viel Overhead erzeugen, nutzt io_uring sogenannte Ring-Puffer, die zwischen Anwendungen und dem Kernel geteilt werden. Dies ermöglicht asynchrone Verarbeitung ohne Prozessblockierung.

Wie die Sicherheitsforscher von Armo berichten, unterstützt io_uring 61 verschiedene Operationstypen, darunter Datei-Lese- und Schreibvorgänge, Netzwerkverbindungen, Prozesserstellung und Änderung von Dateiberechtigungen. Diese Vielfalt macht es zu einem mächtigen Werkzeug für Rootkits. Funktionsweise von io_uring Google hat die Risiken bereits erkannt und io_uring auf Android-Geräten und ChromeOS standardmäßig deaktiviert. Laut Armo waren etwa 60 Prozent der Bug-Bounty-Einreichungen bei Google auf Schwachstellen im io_uring-Mechanismus zurückzuführen.

Tests zeigen gravierende Sicherheitslücken

Die Forscher testeten ihr "Curing"-Rootkit gegen mehrere bekannte Sicherheitstools. Das Ergebnis: Falco konnte die Aktivitäten des Rootkits selbst mit benutzerdefinierten Regeln nicht erkennen. Tetragon zeigte in der Standardkonfiguration ebenfalls Schwächen, ermöglicht jedoch, zusätzliche Überwachungspunkte zu definieren.

Auch kommerzielle Sicherheitslösungen wurden getestet, darunter Microsoft Defender für Linux. Doch auch hier wurde nichts erkannt. Der Vizepräsident eines führenden Cybersicherheitsunternehmens wird mit den Worten zitiert: "Wir nehmen das sehr ernst, da unsere gesamte Dateisystem-Sichtbarkeit umgangen wird."

Lösungsansätze für das Problem

Für die Erkennung von io_uring-basierten Angriffen empfehlen die Forscher mehrere Ansätze:


Das "Curing"-Rootkit wurde kostenlos für alle, die ihre Umgebungen testen wollen, auf GitHub zum Download veröffentlicht.

Bedeutung für die Cybersicherheit

Diese Entdeckung hat weitreichende Auswirkungen, da Linux die Grundlage für einen Großteil der Cloud-Infrastruktur bildet. Die Schwachstelle betrifft insbesondere eBPF, eine weitverbreitete Überwachungs- und Sicherheitstechnologie, die bei Cloud-Sicherheitsanbietern sehr beliebt ist.

Was haltet ihr von dieser Schwachstelle? Nutzt ihr Linux-Systeme und macht euch diese Sicherheitslücke Sorgen? Teilt eure Gedanken in den Kommentaren mit uns!


Siehe auch: