FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

ARMO研究团队近日披露Linux运行时安全工具存在重大缺陷，证实io_uring接口可使rootkit（内核级恶意软件）绕过常规监控方案。测试显示包括Falco、Tetragon乃至Microsoft Defender for Endpoint在内的主流工具均无法检测利用该机制的攻击行为。

技术原理

"该机制允许用户态应用程序在不触发系统调用的情况下执行各类操作，"ARMO解释道。io_uring作为Linux 5.1引入的高性能异步I/O接口，通过用户空间与内核空间共享环形缓冲区显著降低开销。但正是这种设计特性，使其绕过了作为多数Linux安全工具基石的系统调用监控机制。

概念验证

为验证威胁，ARMO开发出全功能rootkit工具Curing，该工具仅通过io_uring操作与C2服务器通信，全程零系统调用。实验证明攻击者可实现：

• 数据窃取
• 远程命令执行
• 网络横向渗透 而传统监控工具完全无法察觉。

产品测试结果

针对多款开源及商业Linux安全产品的测试暴露出严重缺陷：

• Falco：对基于io_uring的操作完全无感知
• Tetragon：默认策略会遗漏io_uring活动，需手动配置Kprobes和LSM钩子增强可见性
• Microsoft Defender for Endpoint：即使io_uring被滥用，仅能通过Fanotify监控到文件变更

行业现状反思

当前Linux EDR（终端检测与响应）工具普遍依赖eBPF代理，因实现便利性优先监控系统调用。ARMO指出根本性架构缺陷："多数安全厂商仍未解决该问题...他们持续依赖简单直接的方案，无法应对应用与内核特性的变化多样性。"

缓解建议

研究团队提出三项改进策略：

1. 异常io_uring使用监控：标记应用程序中的非常规io_uring调用
2. 采用KRSI（内核运行时安全检测）：与Linux LSM框架集成，获取结构化内核事件
3. 超越系统调用的钩子技术：利用稳定Kprobes等钩子点扩大内核监控覆盖面

ARMO特别强调KRSI的优势："与直接挂钩系统调用不同，LSM钩子能为安全相关操作提供更一致可靠的覆盖。"该发现为Linux安全生态敲响警钟，突显现代内核特性与安全防护间的关键性滞后问题。

参考来源：

Critical Flaw Exposes Linux Security Blind Spot: io_uring Bypasses Detection

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）