什么是遠程代碼執行漏洞?
什么是遠程代碼執行攻擊?
RCE 攻擊包括通過使用系統某個級別的漏洞在系統中注入和執行惡意代碼。這允許攻擊者在系統中執行命令、竊取、損壞、加密數據等。
RCE 攻擊有多危險?
RCE 攻擊的影響可能很大,具體取決于它所利用的漏洞。至少,成功的遠程代碼執行將授予對系統及其數據的訪問權限。,嚴重的情況下,它可能導致整個系統妥協和接管。
RCE含義
RCE 也稱為遠程代碼評估,是更廣泛的任意代碼執行 (ACE) 攻擊組的一部分。它是一種使用互聯網、本地 (LAN) 或廣域網 (WAN) 在目標機器或系統中遠程注入和執行代碼的方法。此代碼可以訪問 Web 服務器或應用程序,完全控制或破壞它,打開后門,獲取、修改或破壞數據,安裝勒索軟件等。
這種攻擊利用了將可執行代碼注入字符串或文件并執行或評估的可能性。可能是由于用戶輸入沒有經過驗證,也沒有被允許通過編程語言的解析器——這種情況通常不是開發人員想要的。注入的代碼通常使用目標應用程序的編程語言。此類語言可能包括 PHP、Java、Python、Ruby 等。
根據攻擊者所利用的缺陷,他們通常會在執行代碼時獲得目標進程授予的權限。例如,如果攻擊者以用戶的身份注入代碼,他們就會奪取用戶的權限。
出于這個原因,RCE 之后經常嘗試升級權限并獲得對管理或根級別的控制。不幸的是,這種提升的特權也允許攻擊者更巧妙地隱藏攻擊。然而,即使沒有更多的特殊權限,遠程代碼執行漏洞也有可能造成嚴重危害。
RCE 攻擊的影響
遠程代碼執行攻擊的影響可能是簡單地獲得對應用程序的訪問權,也可能是完全接管應用程序。RCE攻擊的一些主要結果類型包括:
訪問應用程序或服務器:最初,由于漏洞,攻擊者可以訪問易受攻擊的應用程序中的功能。他們可以使用它來注入和運行底層的 Web 服務器命令。
權限升級:獲得對網絡服務器的訪問權并執行命令意味著攻擊者可能能夠獲得更大的權限并控制服務器。如果存在服務器級別的內部漏洞,這尤其危險。
訪問數據:利用 RCE 漏洞,攻擊者可以訪問和竊取存儲在服務器上的數據。
拒絕服務:攻擊者可以通過執行特定的命令來中斷和崩潰服務器上的整個服務和其他服務。
勒索軟件和加密:如果可以在服務器上執行代碼,也可以安裝各種類型的惡意軟件。此類惡意軟件可能是使用服務器資源挖掘加密貨幣的加密挖掘或加密劫持軟件。遠程代碼執行漏洞也為勒索軟件打開了大門,讓整個服務器被接管。
這些只是 RCE 攻擊的一些可能影響。根據具體情況和其他漏洞的存在,敵對方可能會造成進一步的損害,使這種攻擊非常危險。
遠程代碼執行如何工作
執行遠程代碼執行有不同的方法,因為它可以針對服務器的不同層。
執行 RCE 的一種常見方法是通過注入代碼并獲得對指令指針的控制權。這允許攻擊者指向執行以下指令/過程。代碼可以以不同的方式和位置注入,但攻擊者必須“指向”注入的代碼才能執行。代碼本身可能以命令、腳本或其他形式存在。
從本質上講,以上就是RCE攻擊的執行方式。攻擊的類型、攻擊向量以及執行的精確程度可能有所不同。
遠程代碼執行攻擊類型
這些是最常見的遠程代碼執行攻擊及其基本場景。
類型混淆
這種類型的漏洞是指使用一種類型分配對象、資源或變量,但隨后使用不同于初始類型的另一種類型進行訪問。由于訪問資源的類型和屬性不匹配,這將導致錯誤和邏輯錯誤。
攻擊者利用這個漏洞,將代碼包含在分配一個指針但讀取另一個指針的對象中。結果是第二個指針觸發注入的代碼。
例如,在某些情況下, SQL 注入可能是由于類型混淆造成的。
反序列化
Тo 通過網絡傳輸數據,它被序列化,也就是轉換為二進制。然后,將其反序列化并轉換回要在其目的地使用的對象。
通過以特定方式格式化用戶輸入,攻擊者可以創建一個對象,一旦它被反序列化,就會變成可執行的動態代碼。
緩沖區溢出和緩沖區過度讀取
緩沖區溢出也稱為越界寫入和緩沖區溢出。與緩沖區過度讀取一起,它指的是與稱為緩沖區的內存分區相關的內存安全漏洞。緩沖區的目的是在數據從一個地方移動到另一個地方時臨時存儲數據。
應用程序經常使用緩沖存儲器來存儲數據,包括用戶提供的數據。對于緩沖區溢出,攻擊者將依賴于有缺陷的內存分配,例如,缺乏邊界檢查措施。這可能導致數據被寫入緩沖區邊界之外并覆蓋相鄰緩沖區分區中的內存。
這種覆蓋可能會損壞或破壞重要數據,導致崩潰,或導致通過使用指令指針安全漏洞觸發 RCE。這可能與緩沖區過度讀取情況有關,在這種場景中,數據的讀取超出了緩沖區的邊界,進入了存儲在相鄰分區中的內存。
RCE 攻擊示例
一些重要和危險的漏洞及其啟用的攻擊都涉及使用 RCE。
Log4J RCE 漏洞
Log4Shell (CVE-2021-44228) 是 Log4j 中的一個遠程代碼執行漏洞,Log4j是一種流行的 Java 日志框架,估計會影響全球數百萬臺設備。它被稱為“有史以來最大、最嚴重的漏洞”。雖然它自 2013 年以來就存在,但它于 2021 年 11 月為人所知,并于當年 12 月公開披露。
該漏洞允許用戶在服務器上執行任意Java代碼,為加密挖掘、創建僵尸網絡和注入勒索軟件打開大門。
WannaCry
WannaCry是一種勒索病毒加密蠕蟲攻擊,它使用了一個名為EternalBlue的RCE漏洞,從而可以部署DoublePulsar工具來安裝和執行自己的程序。這次攻擊的目標是微軟的Windows系統。安裝后,蠕蟲會對數據進行加密,攻擊者會索要贖金。
永恒之藍攻擊了微軟SMB (Server Message Block)協議中的一個安全漏洞。該漏洞允許攻擊者注入和遠程執行代碼。
這只是兩個最著名的RCE漏洞及其啟用的攻擊。常見漏洞和暴露(Common vulnerability and exposed, CVE)系統定期列出可能導致RCE攻擊的漏洞的新條目。
如何檢測和防止遠程代碼執行
RCE 攻擊構成嚴重威脅,因為它們可能涉及多種方法并利用許多不同的漏洞。此外,新的漏洞不斷出現,使得準備充分變得具有挑戰性。但是,您可以采取多種措施來檢測和防止 RCE 攻擊。
定期安全更新
組織經常不能根據最新的威脅情報采取行動,不能及時應用補丁和更新。因此,攻擊者通常也會試圖攻擊舊的漏洞。一旦系統和軟件可用,就立即對它們進行安全更新,這對于阻止許多攻擊者是非常有效的。
監控
監控網絡流量和端點,以發現可疑內容并阻止利用企圖。這可以通過實現某種形式的網絡安全解決方案或威脅檢測軟件來實現。
檢測軟件安全
通過靜態代碼檢測可以在編碼階段發現常見的安全漏洞,從源頭解決掉存在的安全風險。
內存管理
實現緩沖區溢出保護和其他形式的內存管理,以避免產生容易被利用的漏洞。例如,當緩沖區溢出時,這種保護將終止程序的執行,從而有效地禁用了執行惡意代碼的可能性。邊界檢查和標記是可以實現的其他保護技術,用于停止緩沖區溢出。
文章來源:本文作者:中科天齊軟件安全中心, 轉載請注明來自FreeBuf.COM
