Home » News » Security Management » Warum IT-Teams ein Auge auf dem eBPF Paketfilter haben sollten

Warum IT-Teams ein Auge auf dem eBPF Paketfilter haben sollten

Der extended Berkeley Packet Filter (eBPF) ist eine leistungsstarke Technologie, die Datenpakete aus Netzwerken filtert und in den Betriebssystemkern integriert. Administratoren und Sicherheitsteams nutzen den eBPF, um Rechner und Netzwerke zu verwalten und abzusichern. Doch oft unterschätzen sie die Gefahr: Der Paketfilter weist zahlreiche Schwachstellen auf, die von Hackern mühelos für Cyberangriffe ausgenutzt werden können.

2 Min. Lesezeit
Data Security
Foto: ©AdobeStock/Buffaloboy

Martin Tran, Sales Engineer DACH, Central & Eastern Europe bei Cymulate, rät zu mehr Vorsicht beim Einsatz des extended Berkeley Packet Filter (eBPF): Der Packet Filter ist eine spezielle virtuelle Maschine, die es ermöglicht, Sandbox-Programme im privilegierten Kontext des Betriebssystem-Kernels auszuführen und als Schnittstelle zu Sicherungsschichten von Datenpaketen zu dienen. eBPF unterstützt sowohl bei der Administration als auch bei der Sicherung von Computern und Netzwerken, indem es Datenpakete filtert und eine Verlangsamung der PC- und Netzwerk-Performance aufgrund irrelevanter Daten verhindert. Es können unbrauchbare oder fehlerhafte Datensätze abgelehnt oder repariert werden. Darüber hinaus ermöglicht eBPF den Einsatz neuer Firewall- und Intrusion Detection-Lösungen, die Abwehr von DDoS-Angriffen und die Durchführung von Audits für Anwendungen und Betriebssystem-Funktionen. Insgesamt ist eBPF eine wertvolle Unterstützung bei der Abwehr von Cyberangriffen.

Allerdings hat eBPF auch zahlreiche Schwachstellen, die von Cyberkriminellen ausgenutzt werden können. „Ein Angriffsszenario besteht darin, eBPF-Verifizierer anzugreifen, die eBPF-Programme im Kernel-Kontext überprüfen“, erklärt Tran. „Wenn eine Schwachstelle im Kernel entdeckt wird, über die nicht autorisierter Code ausgeführt werden kann, kann ein Angreifer ein Privilege Escalation-Szenario einleiten und die Zugriffsberechtigungen erhöhen, um umfassendere Angriffe wie Container- oder Sandbox-Escapes durchzuführen. Dadurch kann der Angreifer von einem geschlossenen Anwendungspaket auf den zugrunde liegenden Host gelangen und seitlich in andere geschlossene Anwendungspakete vordringen oder Aktionen auf dem Host selbst durchführen.“

Eine andere Angriffsmethode besteht laut Tran darin, eBPF-Programme zu nutzen, um ein Rootkit auf dem Computer des Opfers zu installieren und im Betriebssystemkern einzudringen. Ein Angreifer kann sich über einen Tracepoint-Hookpoint am Eingang eines Systemaufrufs verbinden, um unbemerkt Zugriff auf alle Systemaufrufparameter zu erhalten. Das installierte Rootkit kann dann XDP- und TC-Infrastrukturen nutzen, um den Zugang und die Kommunikation zu manipulieren oder sensible Daten aus dem Netzwerk zu extrahieren. Es kann sich tarnen, über verschiedene Hook-Points bestehen bleiben, die Prozessrechte erhöhen und sogar Hintertüren erstellen. „Diese Art von eBPF-Malware ist ein ernsthaftes Problem, da die meisten traditionellen Endpunktschutzlösungen sie nicht erkennen können“, so Tran.

Trotz dieser Risiken wird eBPF immer häufiger als Paketfilter in IT-Infrastrukturen eingesetzt, oft ohne größere Sicherheitsbedenken seitens der Administratoren und IT-Sicherheitsteams. Viele sind sich nicht bewusst, dass eBPF-Rootkits für traditionelle Endpunktsicherheitslösungen quasi unsichtbar sind. Tran empfiehlt dringend, die Initiative zu ergreifen und eBPF genauer zu untersuchen, um sicherzustellen, dass IT-Umgebungen vor solchen Angriffen geschützt sind. Eine Möglichkeit, dies zu gewährleisten, besteht darin, immer wieder Emulationstests durchzuführen, wie Gal Yaniv aus dem Cymulate SecDev-Team in einem kürzlich veröffentlichten Blogbeitrag nahelegt.

Andere interessante News

Meeting und Laptop mit AI-Symbol

Greenwashing war gestern: Jetzt kommt das AI-Washing

AI-Washing hat sich als neue PR-Strategie etabliert: Unternehmen nutzen das Buzzword „KI“, um innovativer zu wirken – oft ohne substanzielle Technologien dahinter. Diese Praxis sch...

Trends 2025

Welche Trends 2025 in Sachen KI, Investitionsverhalten und Containment durchschlagen

2025 – ein Jahr des tiefgreifenden Wandels der Cybersicherheit: Künstliche Intelligenz wird neu definiert, Unternehmen kämpfen mit der Balance zwischen Innovation und Sicherheit, u...

Digitaler Chatbot

2. Jahrestag von ChatGPT: Als eine neue KI-Generation die Welt erblickte

Generative KI hat die Welt verändert: Mit der Einführung von ChatGPT vor zwei Jahren wurde Künstliche Intelligenz erstmals alltagstauglich. Sie kommuniziert, versteht und erstellt ...