Home » News » Security Management » Warum IT-Teams ein Auge auf dem eBPF Paketfilter haben sollten

Warum IT-Teams ein Auge auf dem eBPF Paketfilter haben sollten

Der extended Berkeley Packet Filter (eBPF) ist eine leistungsstarke Technologie, die Datenpakete aus Netzwerken filtert und in den Betriebssystemkern integriert. Administratoren und Sicherheitsteams nutzen den eBPF, um Rechner und Netzwerke zu verwalten und abzusichern. Doch oft unterschätzen sie die Gefahr: Der Paketfilter weist zahlreiche Schwachstellen auf, die von Hackern mühelos für Cyberangriffe ausgenutzt werden können.

2 Min. Lesezeit
Data Security
Foto: ©AdobeStock/Buffaloboy

Martin Tran, Sales Engineer DACH, Central & Eastern Europe bei Cymulate, rät zu mehr Vorsicht beim Einsatz des extended Berkeley Packet Filter (eBPF): Der Packet Filter ist eine spezielle virtuelle Maschine, die es ermöglicht, Sandbox-Programme im privilegierten Kontext des Betriebssystem-Kernels auszuführen und als Schnittstelle zu Sicherungsschichten von Datenpaketen zu dienen. eBPF unterstützt sowohl bei der Administration als auch bei der Sicherung von Computern und Netzwerken, indem es Datenpakete filtert und eine Verlangsamung der PC- und Netzwerk-Performance aufgrund irrelevanter Daten verhindert. Es können unbrauchbare oder fehlerhafte Datensätze abgelehnt oder repariert werden. Darüber hinaus ermöglicht eBPF den Einsatz neuer Firewall- und Intrusion Detection-Lösungen, die Abwehr von DDoS-Angriffen und die Durchführung von Audits für Anwendungen und Betriebssystem-Funktionen. Insgesamt ist eBPF eine wertvolle Unterstützung bei der Abwehr von Cyberangriffen.

Allerdings hat eBPF auch zahlreiche Schwachstellen, die von Cyberkriminellen ausgenutzt werden können. „Ein Angriffsszenario besteht darin, eBPF-Verifizierer anzugreifen, die eBPF-Programme im Kernel-Kontext überprüfen“, erklärt Tran. „Wenn eine Schwachstelle im Kernel entdeckt wird, über die nicht autorisierter Code ausgeführt werden kann, kann ein Angreifer ein Privilege Escalation-Szenario einleiten und die Zugriffsberechtigungen erhöhen, um umfassendere Angriffe wie Container- oder Sandbox-Escapes durchzuführen. Dadurch kann der Angreifer von einem geschlossenen Anwendungspaket auf den zugrunde liegenden Host gelangen und seitlich in andere geschlossene Anwendungspakete vordringen oder Aktionen auf dem Host selbst durchführen.“

Eine andere Angriffsmethode besteht laut Tran darin, eBPF-Programme zu nutzen, um ein Rootkit auf dem Computer des Opfers zu installieren und im Betriebssystemkern einzudringen. Ein Angreifer kann sich über einen Tracepoint-Hookpoint am Eingang eines Systemaufrufs verbinden, um unbemerkt Zugriff auf alle Systemaufrufparameter zu erhalten. Das installierte Rootkit kann dann XDP- und TC-Infrastrukturen nutzen, um den Zugang und die Kommunikation zu manipulieren oder sensible Daten aus dem Netzwerk zu extrahieren. Es kann sich tarnen, über verschiedene Hook-Points bestehen bleiben, die Prozessrechte erhöhen und sogar Hintertüren erstellen. „Diese Art von eBPF-Malware ist ein ernsthaftes Problem, da die meisten traditionellen Endpunktschutzlösungen sie nicht erkennen können“, so Tran.

Trotz dieser Risiken wird eBPF immer häufiger als Paketfilter in IT-Infrastrukturen eingesetzt, oft ohne größere Sicherheitsbedenken seitens der Administratoren und IT-Sicherheitsteams. Viele sind sich nicht bewusst, dass eBPF-Rootkits für traditionelle Endpunktsicherheitslösungen quasi unsichtbar sind. Tran empfiehlt dringend, die Initiative zu ergreifen und eBPF genauer zu untersuchen, um sicherzustellen, dass IT-Umgebungen vor solchen Angriffen geschützt sind. Eine Möglichkeit, dies zu gewährleisten, besteht darin, immer wieder Emulationstests durchzuführen, wie Gal Yaniv aus dem Cymulate SecDev-Team in einem kürzlich veröffentlichten Blogbeitrag nahelegt.

Andere interessante News

Rotes Ausrufezeichen vor dunklen Dateisymbolen

Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Ein aktueller Report belegt wachsendes cyberkriminelles Interesse an ERP-Schwachstellen und deren Ausnutzung für Ransomware-Attacken und Datenschutzverletzungen. Angeblich hat sich Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 Prozent erhöht.

Compliance-Regeln: Businessfrau arbeitet am Tablet

Wie die Blockchain die Compliance von DMS pusht

Wo der Schutz sensibler Informationen höchste Priorität hat, gewinnt die Integration von Blockchain-Technologie in Dokumentenmanagement-Systeme (DMS) an Bedeutung. Diese Entwicklung markiert einen Schritt hin zu sicherer und rechtskonformer Datenverwaltung.

Botnet

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnetz-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.