ثغرة خطيرة في لينكس: برمجية خبيثة جديدة تتجاوز أدوات مراقبة النظام

قراصنة يستغلون ثغرة في خادم Apache HTTP لنشر برنامج تعدين العملات المشفرة Linuxsys
قراصنة يستغلون ثغرة في خادم Apache HTTP لنشر برنامج تعدين العملات المشفرة Linuxsys
شارك هذا الخبر

كشف باحثون أمنيون عن برمجية خبيثة تجريبية (PoC) تُدعى “Curing”، تستغل ميزة io_uring في نواة لينكس لتجاوز أنظمة المراقبة الأمنية التقليدية القائمة على تعقب استدعاءات النظام (system calls).

وفقًا لشركة ARMO للأمن السيبراني، فإن هذه البرمجية تخلق “نقطة عمياء كبرى” في أدوات حماية أنظمة لينكس، حيث تمكن المهاجمين من تنفيذ أوامر خبيثة دون الحاجة إلى استدعاءات نظامية تقليدية، مما يجعلها غير مرئية لأدوات المراقبة مثل Falco وTetragon.

كيف تعمل الثغرة؟

io_uring هي واجهة برمجية في نواة لينكس (مُضافة منذ الإصدار 5.1 في 2019) تتيح للمستخدمين تنفيذ عمليات الإدخال/الإخراج (I/O) بشكل غير متزامن عبر مخازن مؤقتة دائرية تسمى:

  • طابور الإرسال (SQ)

  • طابور الإنجاز (CQ)

لكن الباحثين في ARMO طوروا برمجية Curing التي تستغل هذه الميزة للتواصل مع خادم تحكم (C2) وتنفيذ أوامر خبيثة دون أي استدعاءات نظامية تقليدية، مما يجعلها غير قابلة للكشف بالوسائل الأمنية الحالية.

لماذا تشكل io_uring خطرًا أمنيًا؟

  • جوجل حذرت منها سابقًا: في يونيو 2023، قررت جوجل تقييد استخدام io_uring في أنظمة أندرويد وChromeOS وخوادمها بسبب مخاطر الاستغلال الأمني.

  • أدوات المراقبة التقليدية عاجزة: تعتمد معظم أنظمة الحماية على تعقب استدعاءات النظام، لكن io_uring يتجاوزها تمامًا.

  • تهديد للخوادم وأنظمة الحوسبة السحابية: نظرًا لاعتماد الكثير من البنى التحتية على لينكس، يمكن لهذه الثغرة أن تهدد أمن الأنظمة الحساسة.

ما الحل؟ توصيات الباحثين

يقول أميت شيندل، رئيس أبحاث الأمن في ARMO:

“تحتاج أدوات الأمن السيبراني إلى مراقبة استدعاءات النظام + الوصول إلى بنى النواة لاكتشاف التهديدات بشكل فعال. الاعتماد فقط على تعقب الاستدعاءات النظامية لم يعد كافيًا.”

خطوات وقائية مقترحة:

  1. مراجعة سياسات الأمان: تحديث أنظمة المراقبة لتشمل تحليل سلوك io_uring.

  2. تقييد صلاحيات io_uring: كما فعلت جوجل في أنظمتها.

  3. استخدام حلول أمنية متقدمة: تعتمد على تحليل سلوكي أعمق، وليس فقط تعقب الاستدعاءات.

 سباق بين القراصنة وخبراء الأمن

مع تطور تقنيات مثل io_uring، يصبح من الضروري تطوير أدوات أمنية أكثر ذكاءً لاكتشاف الهجمات غير التقليدية. يُنصح مسؤولو الأنظمة التي تعتمد على لينكس بـ:

  • مراقبة أي نشاط غير معتاد لـ io_uring.

  • تطبيق آخر التحديثات الأمنية.

  • اعتماد حلول متعددة الطبقات للحماية.

#الأمن_السيبراني #لينكس #io_uring #البرمجيات_الخبيثة #حماية_الخوادم

وسوم
محمد طاهر
محمد طاهر
المقالات: 582

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة