{"id":1685705,"date":"2025-04-24T17:18:51","date_gmt":"2025-04-24T17:18:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/linux-io_uring-poc-rootkit-ocupa-herramientas-de-deteccion-de-amenazas-basadas-en-llamadas-del-sistema\/"},"modified":"2025-04-24T17:18:57","modified_gmt":"2025-04-24T17:18:57","slug":"linux-io_uring-poc-rootkit-ocupa-herramientas-de-deteccion-de-amenazas-basadas-en-llamadas-del-sistema","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/linux-io_uring-poc-rootkit-ocupa-herramientas-de-deteccion-de-amenazas-basadas-en-llamadas-del-sistema\/","title":{"rendered":"Linux IO_uring POC Rootkit Ocupa Herramientas de detecci\u00f3n de amenazas basadas en llamadas del sistema"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de punto final \/ Linux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Linux-IO_uring-POC-Rootkit-Ocupa-Herramientas-de-deteccion-de-amenazas.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han demostrado un rootkit de prueba de concepto (POC) doblado <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/armosec\/curing\" target=\"_blank\">Curaci\u00f3n<\/a> que aprovecha un mecanismo de E\/S as\u00edncrono de Linux llamado <a rel=\"noopener nofollow\" href=\"https:\/\/man7.org\/linux\/man-pages\/man7\/io_uring.7.html\" target=\"_blank\">io_uring<\/a> para evitar el monitoreo tradicional de llamadas del sistema.<\/p>\n<p>Esto causa un &#8220;punto ciego importante en las herramientas de seguridad de tiempo de ejecuci\u00f3n de Linux&#8221;, dijo Armo.<\/p>\n<p>&#8220;Este mecanismo permite que una aplicaci\u00f3n de usuario realice varias acciones sin usar llamadas al sistema&#8221;, la empresa <a rel=\"noopener nofollow\" href=\"https:\/\/www.armosec.io\/blog\/io_uring-rootkit-bypasses-linux-security\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News. &#8220;Como resultado, las herramientas de seguridad que se basan en el monitoreo de llamadas del sistema son ciegas &#8216;a RootKits que trabajan \u00fanicamente en io_uring&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>io_uring, primero <a rel=\"noopener nofollow\" href=\"https:\/\/blogs.oracle.com\/linux\/post\/an-introduction-to-the-io-uring-asynchronous-io-framework\" target=\"_blank\">introducido<\/a> En Linux Kernel versi\u00f3n 5.1 en marzo de 2019, es una interfaz de llamadas al sistema de kernel de Linux que <a rel=\"noopener nofollow\" href=\"https:\/\/developers.redhat.com\/articles\/2023\/04\/12\/why-you-should-use-iouring-network-io\" target=\"_blank\">empleo<\/a> Dos buffers circulares llamaron a una cola de env\u00edo (SQ) y una cola de finalizaci\u00f3n (CQ) entre el n\u00facleo y una aplicaci\u00f3n (es decir, espacio de usuario) para rastrear la presentaci\u00f3n y finalizaci\u00f3n de las solicitudes de E\/S de manera asincr\u00f3nica.<\/p>\n<p>El RootKit ideado por ARMO facilita la comunicaci\u00f3n entre un servidor de comando y control (C2) y un host infectado para obtener comandos y ejecutarlos sin hacer que las llamadas de sistema relevantes para sus operaciones, en lugar de hacer uso de Io_uring para lograr los mismos objetivos.<\/p>\n<p><a href=\"https:\/\/www.youtube.com\/watch?v=oj6vqo87miy\" rel=\"nofollow noopener\" target=\"_blank\">https:\/\/www.youtube.com\/watch?v=oj6vqo87miy<\/a><\/p>\n<p>El an\u00e1lisis de ARMO de las herramientas de seguridad de tiempo de ejecuci\u00f3n de Linux disponibles actualmente ha revelado que ambos <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/falcosecurity\/falco\" target=\"_blank\">Falco<\/a> y <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/cilium\/tetragon\" target=\"_blank\">Tetrag\u00f3n<\/a> son ciegos a las operaciones basadas en Io_uring debido al hecho de que dependen en gran medida del enganche de llamadas del sistema. <\/p>\n<p>El agente Falcon de CrowdStrike, que tampoco pudo archivar las operaciones del sistema realizadas con IO_uring, desde entonces ha lanzado una soluci\u00f3n para el problema. Sin embargo, se dice que el defensor de Microsoft para el punto final en Linux carece de capacidades para detectar diversos tipos de amenazas, independientemente de si se us\u00f3 Io_uring.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los riesgos de seguridad planteados por IO_uring han sido conocidos por alg\u00fan tiempo. En junio de 2023, Google <a rel=\"noopener nofollow\" href=\"https:\/\/security.googleblog.com\/2023\/06\/learnings-from-kctf-vrps-42-linux.html\" target=\"_blank\">revel\u00f3<\/a> que decidi\u00f3 limitar el uso de la interfaz del n\u00facleo de Linux a trav\u00e9s de Android, Chromeos y sus servidores de producci\u00f3n, ya que &#8220;proporciona fuertes primitivas de explotaci\u00f3n&#8221;.<\/p>\n<p>&#8220;Por un lado, necesita visibilidad en las llamadas del sistema; por el otro, necesita acceso a estructuras del n\u00facleo y un contexto suficiente para detectar las amenazas de manera efectiva&#8221;, dijo Amit Schendel, jefe de investigaci\u00f3n de seguridad en ARMO.<\/p>\n<p>&#8220;Muchos proveedores toman el camino m\u00e1s directo: engancharse directamente en las llamadas del sistema. Si bien este enfoque ofrece una visibilidad r\u00e1pida, viene con limitaciones. En particular, las llamadas del sistema no siempre se garantiza que se invoque. Io_uring, que puede omitirlas por completo, es un ejemplo positivo y excelente&#8221;.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/linux-iouring-poc-rootkit-bypasses.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de abril de 2025\ue804Ravie LakshmananSeguridad de punto final \/ Linux Los investigadores de ciberseguridad han demostrado un<\/p>\n","protected":false},"author":1,"featured_media":1685707,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8898,4661,96256,4664,38,34790,11109,300346,273784,18038,11417,273783,4654,273782,4659,4653,4655,9998,53819,30407,246983,4665,246984,5321,455,239484],"class_list":["post-1685705","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amenazas","tag-ataques-ciberneticos","tag-basadas","tag-como-hackear","tag-del","tag-deteccion","tag-herramientas","tag-io_uring","tag-las-noticias-del-hacker","tag-linux","tag-llamadas","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ocupa","tag-poc","tag-rootkit","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sistema","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1685705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1685705"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1685705\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1685707"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1685705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1685705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1685705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}