Warum IT-Teams ein Auge auf dem eBPF Paketfilter haben sollten

Martin Tran, Sales Engineer DACH, Central & Eastern Europe bei Cymulate, rät zu mehr Vorsicht beim Einsatz des extended Berkeley Packet Filter (eBPF): Der Packet Filter ist eine spezielle virtuelle Maschine, die es ermöglicht, Sandbox-Programme im privilegierten Kontext des Betriebssystem-Kernels auszuführen und als Schnittstelle zu Sicherungsschichten von Datenpaketen zu dienen. eBPF unterstützt sowohl bei der Administration als auch bei der Sicherung von Computern und Netzwerken, indem es Datenpakete filtert und eine Verlangsamung der PC- und Netzwerk-Performance aufgrund irrelevanter Daten verhindert. Es können unbrauchbare oder fehlerhafte Datensätze abgelehnt oder repariert werden. Darüber hinaus ermöglicht eBPF den Einsatz neuer Firewall- und Intrusion Detection-Lösungen, die Abwehr von DDoS-Angriffen und die Durchführung von Audits für Anwendungen und Betriebssystem-Funktionen. Insgesamt ist eBPF eine wertvolle Unterstützung bei der Abwehr von Cyberangriffen.

Allerdings hat eBPF auch zahlreiche Schwachstellen, die von Cyberkriminellen ausgenutzt werden können. „Ein Angriffsszenario besteht darin, eBPF-Verifizierer anzugreifen, die eBPF-Programme im Kernel-Kontext überprüfen“, erklärt Tran. „Wenn eine Schwachstelle im Kernel entdeckt wird, über die nicht autorisierter Code ausgeführt werden kann, kann ein Angreifer ein Privilege Escalation-Szenario einleiten und die Zugriffsberechtigungen erhöhen, um umfassendere Angriffe wie Container- oder Sandbox-Escapes durchzuführen. Dadurch kann der Angreifer von einem geschlossenen Anwendungspaket auf den zugrunde liegenden Host gelangen und seitlich in andere geschlossene Anwendungspakete vordringen oder Aktionen auf dem Host selbst durchführen.“

Eine andere Angriffsmethode besteht laut Tran darin, eBPF-Programme zu nutzen, um ein Rootkit auf dem Computer des Opfers zu installieren und im Betriebssystemkern einzudringen. Ein Angreifer kann sich über einen Tracepoint-Hookpoint am Eingang eines Systemaufrufs verbinden, um unbemerkt Zugriff auf alle Systemaufrufparameter zu erhalten. Das installierte Rootkit kann dann XDP- und TC-Infrastrukturen nutzen, um den Zugang und die Kommunikation zu manipulieren oder sensible Daten aus dem Netzwerk zu extrahieren. Es kann sich tarnen, über verschiedene Hook-Points bestehen bleiben, die Prozessrechte erhöhen und sogar Hintertüren erstellen. „Diese Art von eBPF-Malware ist ein ernsthaftes Problem, da die meisten traditionellen Endpunktschutzlösungen sie nicht erkennen können“, so Tran.

Trotz dieser Risiken wird eBPF immer häufiger als Paketfilter in IT-Infrastrukturen eingesetzt, oft ohne größere Sicherheitsbedenken seitens der Administratoren und IT-Sicherheitsteams. Viele sind sich nicht bewusst, dass eBPF-Rootkits für traditionelle Endpunktsicherheitslösungen quasi unsichtbar sind. Tran empfiehlt dringend, die Initiative zu ergreifen und eBPF genauer zu untersuchen, um sicherzustellen, dass IT-Umgebungen vor solchen Angriffen geschützt sind. Eine Möglichkeit, dies zu gewährleisten, besteht darin, immer wieder Emulationstests durchzuführen, wie Gal Yaniv aus dem Cymulate SecDev-Team in einem kürzlich veröffentlichten Blogbeitrag nahelegt.