BPFDoor and Symbiote: Advanced eBPF-Based Rootkits Target Linux Systems
2025/12/03 gbhackers — Extended Berkeley Packet Filter (eBPF) は、Linux カーネルにおける最も強力な技術の一つであり、サンドボックス化されたプログラムをカーネルに直接ロードすることで、ネットワーク・パケットの検査やシステムコールの監視を可能にするものだ。この機能は 2015 年に導入され、1992年の BPF アーキテクチャを近代化し、前例のない監視機能を提供することになった。しかし、一方では、高度な攻撃者に対して、ステルス性の高い新たな攻撃ベクターを提供するという諸刃の剣になっている。
Continue reading “Linux eBPF を巡る攻防:進化する BPFDoor と Symbiote の機能を分析する”Kunai: Open-source threat hunting tool for Linux
2025/02/19 HelpNetSecurity — Kunai が、他と一線を画しているのは、単純なイベント生成にとどまらない能力である。ほとんどのセキュリティ監視ツールは、システムコールやカーネル関数のフックに依存しているが、Kunai はホスト上のイベントを相関させて分析情報を提供するという、より高度なアプローチを採用している。つまり、イベントの数は少なくなるが、意味のあるイベントが増え、ノイズやログ取り込みの負担が軽減される。それと同時に、システム・アクティビティに対する、より詳細な可視性が実現する。Kunai の開発者である Quentin Jerome は、このように Help Net Security に語っている。
Continue reading “Kunai という脅威ハンティング・ツール:イベント相関のための高度なアプローチとは?”2025/01/29 SecurityOnline — Linux Kernel の eBPF (Extended Berkeley Packet Filter) フレームワークに発見された2つの脆弱性は、AF_XDP ソケットによる高性能パケット処理機能に影響を及ぼすものだ。それらの脆弱性 CVE-2024-56614/CVE-2024-56615 (CVSS:7.8) は、深刻なセキュリティ・リスクを引き起こす可能性があるとされている。この脆弱性を悪用する攻撃者は、重要な関数で整数オーバーフロー・エラーを引き起こし、境界外書き込みやメモリ破損などを可能にするとされる。
Continue reading “Linux Kernel eBPF の脆弱性 CVE-2024-56614/56615 が FIX:PoC もリリース”Linux eBPF bug gets root privileges on Ubuntu – Exploit released
2021/07/30 BleepingComputer — Linux カーネルの eBPF (Extended Berkeley Packet Filter) に深刻度の高い脆弱性があり、Ubuntu マシン上において攻撃者に高い権限を与えてしまう可能性があるため、セキュリティ研究者が PoC エクスプロイト・コードを公開した。この、5月に公開された脆弱性 CVE-2021-3490 は、特権昇格を引き起こすものであるが、それを悪用するには、対象マシンのローカル・アクセスが必要となる。なお、eBPF とは、特定のイベントや機能 (システム・コールやネットワーク・イベントなど) をトリガーとして、OS のカーネル内でユーザー・プログラムをサンドボックス化して実行する技術である。
Continue reading “Ubuntu Linux の eBPF 脆弱性に対する PoC エクスプロイトが公開”
IoT OT Security News 