محققان امنیتی ARMO یک آسیب‌پذیری جدی در امنیت زمان اجرای لینوکس کشف کردند که از طریق رابط ‘io_uring’ امکان فعالیت rootkitها بدون شناسایی و دور زدن نرم‌افزارهای امنیتی پیشرفته سازمانی را فراهم می‌کند. io_uring که در سال ۲۰۱۹ با لینوکس ۵.۱ معرفی شد، یک رابط کرنل برای عملیات I/O ناهمزمان و کارآمد است که از ring bufferهای مشترک بین برنامه‌ها و کرنل سیستم استفاده می‌کند.

مشکل اصلی این است که اکثر ابزارهای امنیتی تنها syscallهای مشکوک را نظارت می‌کنند و فعالیت‌های مرتبط با io_ring را نادیده می‌گیرند که یک نقطه کور خطرناک ایجاد می‌کند. محققان rootkit اثبات مفهومی به نام “Curing” توسعه دادند که قابلیت اجرای عملیات دلخواه از سرور راه دور بدون فعال کردن syscall hookها را دارد. آزمایش‌ها نشان داد که ابزارهای امنیتی معروف مانند Falco و Tetragon در تشخیص این نوع فعالیت‌های مخرب ناتوان هستند، به طوری که گوگل تصمیم گرفته این قابلیت را به صورت پیش‌فرض در اندروید و ChromeOS غیرفعال کند.