El filtro de paquetes de Berkeley ampliado (eBPF) filtra los paquetes de datos de las redes y los integra en el núcleo del sistema operativo. La tecnología apoya a los usuarios en la administración y protección de computadoras y redes. Sin embargo, lo que los administradores y los equipos de seguridad rara vez toman suficientemente en cuenta: el filtro de paquetes tiene numerosas vulnerabilidades que los piratas informáticos pueden utilizar de manera indebida para un ataque cibernético.
El Berkeley Packet Filter extendido es una máquina virtual de propósito especial que permite que los programas de espacio aislado se ejecuten en un contexto privilegiado, como el kernel del sistema operativo. Forma una interfaz para las capas de enlace de datos de las unidades de datos. La tecnología admite tanto la administración como la protección de equipos y redes.
Filtro de paquetes Berkeley extendido: útil y peligroso
El eBPF se puede utilizar para filtrar paquetes de datos y evitar que el rendimiento de la red y de la PC se ralentice debido a datos irrelevantes. Los registros de datos inutilizables o defectuosos pueden rechazarse o repararse desde el principio. eBPF también permite el uso de nuevas soluciones de firewall y detección de intrusos, la defensa contra ataques DDoS y la implementación de auditorías en aplicaciones y funciones del sistema operativo. Esto hace que eBPF sea una ayuda valiosa en la defensa contra ataques cibernéticos. Pero el filtro de datos también tiene numerosas debilidades. Y es fácil que los ciberdelincuentes se aprovechen de él, a menudo sin que los equipos de seguridad y las herramientas de seguridad lo noten.
Por ejemplo, los atacantes pueden apuntar a los verificadores de eBPF que validan los programas de eBPF en el contexto del kernel. Si luego descubren una vulnerabilidad en el kernel que permite la ejecución de código no autorizado, pueden iniciar un escenario de escalada de privilegios. A través de esto, elevan los privilegios de acceso para lanzar un ataque más amplio; por ejemplo, un escape de contenedor o caja de arena. Luego, el atacante pasa del paquete de aplicación cerrado al host subyacente, desde donde puede penetrar otros paquetes de aplicación cerrados o realizar acciones en el propio host.
Carga de rootkit a través del programa eBPF
Otro punto de partida para los atacantes es usar programas eBPF para instalar un rootkit en la computadora de la víctima e implantarlo en el núcleo del sistema operativo. Para operar con éxito con los rootkits eBPF, sin ser detectado por los equipos de seguridad y las soluciones de seguridad, el atacante solo necesita conectarse a través de un punto de enlace de punto de seguimiento en la entrada de una llamada al sistema para obtener acceso inadvertido a todos los parámetros de la llamada al sistema.
El rootkit instalado puede usar las infraestructuras XDP y TC para manipular el acceso y la comunicación o para extraer datos confidenciales de la red. Puede ocultarse, persistir a través de varios puntos de enlace, elevar los privilegios del proceso e incluso crear puertas traseras. Tal 'malware eBPF' es un problema real. Porque la mayoría de las soluciones tradicionales de protección de endpoints no pueden detectarlos. Gal Yaniv, miembro del equipo SecDev de Cymulate, mostró recientemente en una publicación de blog con qué facilidad los piratas informáticos pueden usar rootkits eBPF sin ser detectados en un entorno Linux.
¿Tienes un momento?
Tómese unos minutos para nuestra encuesta de usuarios de 2023 y ayude a mejorar B2B-CYBER-SECURITY.de!Solo tiene que responder 10 preguntas y tiene la oportunidad inmediata de ganar premios de Kaspersky, ESET y Bitdefender.
Aquí vas directo a la encuesta
Peligroso: eBPF se puede encontrar en cada vez más infraestructuras de TI
Y, sin embargo, eBPF se utiliza cada vez con más frecuencia como filtro de paquetes en las infraestructuras de TI, sin mayores preocupaciones de seguridad por parte de los administradores, los equipos de TI y de seguridad de TI. Dado que los rootkits eBPF son prácticamente invisibles para las soluciones tradicionales de seguridad de endpoints, a menudo no son conscientes de los riesgos que plantea la implementación de un filtro de paquetes eBPF. Solo podemos aconsejarle que finalmente tome la iniciativa aquí y eche un vistazo más de cerca a eBPF. Como ya ha señalado Gal Yaniv, para estar realmente seguros de que los entornos de TI están protegidos contra este tipo de ataques, solo hay una cosa que hacer: emular, emular y emular de nuevo.
Más en Cymulate.com
Acerca de Cymulate
La solución de Cymulate para la validación de riesgos de ciberseguridad y la gestión de exposición brinda a los profesionales de la seguridad la capacidad de validar continuamente su postura de ciberseguridad en las instalaciones y en la nube con visualización de extremo a extremo a través del marco MITRE ATT&CK®, para validar y optimizar. La plataforma ofrece evaluaciones de riesgo automatizadas, expertas y basadas en datos de amenazas que son fáciles de implementar y pueden ser utilizadas fácilmente por organizaciones de todos los niveles de madurez de ciberseguridad. Además, proporciona un marco abierto para crear y automatizar ejercicios de formación de equipos Rojo y Púrpura, escenarios de penetración personalizados y campañas de ataque avanzadas para entornos y políticas de seguridad específicos.