Pesquisadores de segurança cibernética apresentaram um rootkit em prova de conceito (PoC), batizado de Curing, que utiliza o mecanismo de I/O assíncrono do Linux chamado io_uring para driblar ferramentas tradicionais de detecção baseadas em chamadas de sistema. Segundo a empresa ARMO, essa abordagem representa uma “grave lacuna nas ferramentas de segurança em tempo de execução no Linux”, já que o io_uring permite que aplicações realizem diversas ações sem acionar chamadas de sistema convencionais. Como resultado, rootkits que operam exclusivamente com io_uring permanecem invisíveis a ferramentas que monitoram essas chamadas.

O io_uring, introduzido no kernel Linux 5.1 em março de 2019, utiliza duas filas circulares — de submissão e de conclusão — para gerenciar requisições de I/O de forma assíncrona entre o espaço do usuário e o kernel. O Curing consegue se comunicar com um servidor de comando e controle (C2), receber instruções e executá-las sem acionar chamadas de sistema tradicionais, utilizando exclusivamente o io_uring.

Ferramentas populares como Falco e Tetragon, altamente dependentes da interceptação de chamadas de sistema, não conseguem detectar atividades baseadas em io_uring. O agente Falcon, da CrowdStrike, inicialmente também falhou, mas recebeu uma atualização para corrigir a vulnerabilidade. Já o Microsoft Defender para Linux ainda apresenta limitações amplas na detecção de ameaças. Em 2023, o Google limitou o uso do io_uring em seus sistemas Android, ChromeOS e servidores, destacando seu potencial de exploração. Amit Schendel, da ARMO, alerta: “Monitorar apenas chamadas de sistema já não é suficiente. O io_uring mostra como ameaças podem escapar completamente desse radar”.