Il Berkeley Packet Filter (eBPF) esteso filtra i pacchetti di dati dalle reti e li incorpora nel core del sistema operativo. La tecnologia supporta gli utenti nell'amministrazione e nella protezione di computer e reti. Tuttavia, ciò che gli amministratori e i team di sicurezza raramente tengono in considerazione a sufficienza: il filtro dei pacchetti presenta numerose vulnerabilità che possono essere facilmente utilizzate in modo improprio dagli hacker per un attacco informatico.
Il Berkeley Packet Filter esteso è una macchina virtuale per scopi speciali che consente l'esecuzione di programmi in modalità sandbox in un contesto privilegiato, come il kernel del sistema operativo. Forma un'interfaccia per i livelli di collegamento dati delle unità di dati. La tecnologia supporta sia l'amministrazione che la protezione di computer e reti.
Extended Berkeley Packet Filter - utile e pericoloso
L'eBPF può essere utilizzato per filtrare i pacchetti di dati e impedire che le prestazioni del PC e della rete vengano rallentate a causa di dati irrilevanti. I record di dati inutilizzabili o errati possono essere rifiutati o riparati fin dall'inizio. eBPF consente inoltre l'utilizzo di nuove soluzioni firewall e di intrusion detection, la difesa da attacchi DDoS e l'implementazione di audit sulle applicazioni e sulle funzionalità del sistema operativo. Questo rende eBPF un valido aiuto nella difesa dagli attacchi informatici. Ma il filtro dei dati presenta anche numerosi punti deboli. Ed è facile per i criminali informatici trarne vantaggio, spesso inosservato dai team di sicurezza e dagli strumenti di sicurezza.
Ad esempio, gli aggressori possono prendere di mira i verificatori eBPF che convalidano i programmi eBPF nel contesto del kernel. Se poi scoprono una vulnerabilità nel kernel che consente l'esecuzione di codice non autorizzato, possono avviare uno scenario di escalation dei privilegi. Attraverso questo, elevano i privilegi di accesso per lanciare un attacco più ampio; ad esempio una fuga da un container o da una sandbox. L'attaccante passa quindi dal pacchetto dell'applicazione chiuso all'host sottostante, da dove può penetrare in altri pacchetti dell'applicazione chiusi o eseguire azioni sull'host stesso.
Caricamento rootkit tramite programma eBPF
Un altro punto di partenza per gli aggressori è utilizzare i programmi eBPF per installare un rootkit sul computer di una vittima e impiantarsi nel cuore del sistema operativo. Per operare con successo con i rootkit eBPF, non rilevati dai team di sicurezza e dalle soluzioni di sicurezza, l'attaccante deve solo collegarsi tramite un hookpoint tracepoint all'input di una chiamata di sistema per ottenere l'accesso inosservato a tutti i parametri della chiamata di sistema.
Il rootkit installato è quindi in grado di utilizzare le infrastrutture XDP e TC per manipolare l'accesso e la comunicazione o per estrarre dati sensibili dalla rete. Può nascondersi, persistere attraverso vari punti di aggancio, elevare i privilegi del processo e persino creare backdoor. Tale "malware eBPF" è un vero problema. Perché la maggior parte delle tradizionali soluzioni di protezione degli endpoint non è in grado di rilevarli. Gal Yaniv, un membro del team SecDev di Cymulate, ha recentemente mostrato in un post sul blog con quanta facilità gli hacker possono utilizzare i rootkit eBPF senza essere notati in un ambiente Linux.
Hai un momento?
Dedica qualche minuto al nostro sondaggio tra gli utenti del 2023 e contribuisci a migliorare B2B-CYBER-SECURITY.de!Devi solo rispondere a 10 domande e hai la possibilità immediata di vincere premi da Kaspersky, ESET e Bitdefender.
Qui vai direttamente al sondaggio
Pericoloso: eBPF può essere trovato in un numero sempre maggiore di infrastrutture IT
Eppure: eBPF viene utilizzato sempre più frequentemente come filtro di pacchetti nelle infrastrutture IT, senza grandi problemi di sicurezza da parte degli amministratori, dell'IT e dei team di sicurezza IT. Poiché i rootkit eBPF sono praticamente invisibili alle tradizionali soluzioni di sicurezza degli endpoint, spesso non sono consapevoli dei rischi posti dall'implementazione di un filtro pacchetti eBPF. Possiamo solo consigliarti di prendere finalmente l'iniziativa qui e dare un'occhiata più da vicino a eBPF. Come ha già sottolineato Gal Yaniv, per essere davvero sicuri che gli ambienti IT siano protetti da questo tipo di attacco, c'è solo una cosa da fare: emulare, emulare e ancora emulare.
Altro su Cymulate.com
A proposito di Cymulate
La soluzione di Cymulate per la convalida del rischio di sicurezza informatica e la gestione dell'esposizione offre ai professionisti della sicurezza la possibilità di convalidare continuamente la propria posizione di sicurezza informatica on-premise e nel cloud con visualizzazione end-to-end tramite il framework MITRE ATT&CK®, per convalidare e ottimizzare. La piattaforma offre valutazioni del rischio automatizzate, esperte e basate sui dati delle minacce, facili da implementare e facilmente utilizzabili da organizzazioni di tutti i livelli di maturità della sicurezza informatica. Inoltre, fornisce un framework aperto per la creazione e l'automazione di esercizi di teaming Red e Purple personalizzando scenari di penetrazione e campagne di attacco avanzate per ambienti e policy di sicurezza specifici.