Le filtre de paquets Berkeley étendu (eBPF) filtre les paquets de données des réseaux et les intègre dans le noyau du système d'exploitation. La technologie assiste les utilisateurs dans l'administration et la protection des ordinateurs et des réseaux. Cependant, ce que les administrateurs et les équipes de sécurité prennent rarement suffisamment en compte : le filtre de paquets présente de nombreuses vulnérabilités qui peuvent facilement être utilisées à mauvais escient par des pirates pour une cyberattaque.
Le filtre de paquets Berkeley étendu est une machine virtuelle à usage spécial qui permet aux programmes en bac à sable de s'exécuter dans un contexte privilégié, tel que le noyau du système d'exploitation. Il forme une interface avec les couches de liaison de données des unités de données. La technologie prend en charge à la fois l'administration et la protection des ordinateurs et des réseaux.
Filtre de paquets Berkeley étendu - utile et dangereux
L'eBPF peut être utilisé pour filtrer les paquets de données et empêcher les performances du PC et du réseau d'être ralenties en raison de données non pertinentes. Les enregistrements de données inutilisables ou défectueux peuvent être rejetés ou réparés dès le départ. eBPF permet également l'utilisation de nouvelles solutions de pare-feu et de détection d'intrusion, la défense contre les attaques DDoS et la mise en place d'audits sur les applications et les fonctions du système d'exploitation. Cela fait d'eBPF une aide précieuse pour se défendre contre les cyberattaques. Mais le filtre de données présente également de nombreuses faiblesses. Et il est facile pour les cybercriminels d'en profiter - souvent sans être remarqués par les équipes de sécurité et les outils de sécurité.
Par exemple, les attaquants peuvent cibler les vérificateurs eBPF qui valident les programmes eBPF dans le contexte du noyau. S'ils découvrent ensuite une vulnérabilité dans le noyau qui permet l'exécution de code non autorisé, ils peuvent lancer un scénario d'élévation de privilèges. Grâce à cela, ils élèvent les privilèges d'accès pour lancer une attaque plus large ; par exemple un échappement de conteneur ou de bac à sable. L'attaquant passe alors du package d'application fermé à l'hôte sous-jacent, d'où il peut pénétrer d'autres packages d'application fermés ou effectuer des actions sur l'hôte lui-même.
Téléchargement de rootkit via le programme eBPF
Un autre point de départ pour les attaquants consiste à utiliser les programmes eBPF pour installer un rootkit sur l'ordinateur d'une victime et s'implanter au cœur du système d'exploitation. Afin de fonctionner avec succès avec les rootkits eBPF - non détectés par les équipes de sécurité et les solutions de sécurité - l'attaquant n'a qu'à se connecter via un point d'accrochage tracepoint à l'entrée d'un appel système pour obtenir un accès inaperçu à tous les paramètres d'appel système.
Le rootkit installé est alors capable d'utiliser les infrastructures XDP et TC pour manipuler l'accès et la communication ou pour extraire des données sensibles du réseau. Il peut se camoufler, persister à travers divers points d'accroche, élever les privilèges de processus et même créer des portes dérobées. Un tel "malware eBPF" est un vrai problème. Parce que la plupart des solutions traditionnelles de protection des terminaux ne peuvent pas les détecter. Gal Yaniv, membre de l'équipe SecDev de Cymulate, a récemment montré dans un article de blog avec quelle facilité les pirates peuvent utiliser les rootkits eBPF sans se faire remarquer dans un environnement Linux.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
Dangereux : eBPF se retrouve dans de plus en plus d'infrastructures informatiques
Et pourtant : eBPF est de plus en plus utilisé comme filtre de paquets dans les infrastructures informatiques - sans souci majeur de sécurité de la part des administrateurs, de l'IT et des équipes de sécurité informatique. Étant donné que les rootkits eBPF sont pratiquement invisibles pour les solutions de sécurité des terminaux traditionnelles, ils ne sont souvent pas conscients des risques posés par le déploiement d'un filtre de paquets eBPF. Nous ne pouvons que vous conseiller de prendre enfin l'initiative ici et de vous pencher de plus près sur eBPF. Comme l'a déjà souligné Gal Yaniv, pour être vraiment sûr que les environnements informatiques sont protégés contre ce type d'attaque, il n'y a qu'une chose à faire : émuler, émuler et encore émuler.
Plus sur Cymulate.com
À propos de Cymulate
La solution de Cymulate pour la validation des risques de cybersécurité et la gestion de l'exposition offre aux professionnels de la sécurité la possibilité de valider en continu leur posture de cybersécurité sur site et dans le cloud avec une visualisation de bout en bout via le cadre MITRE ATT&CK®, pour valider et optimiser. La plate-forme propose des évaluations des risques automatisées, expertes et basées sur les données des menaces, faciles à mettre en œuvre et pouvant être facilement utilisées par les organisations de tous les niveaux de maturité en matière de cybersécurité. En outre, il fournit un cadre ouvert pour créer et automatiser les exercices d'association rouge et violet en adaptant des scénarios de pénétration et des campagnes d'attaque avancées pour des environnements et des politiques de sécurité spécifiques.