Angriffe mit entfernter Codeausführung: Was ist das und wie können Sie Ihre Systeme schützen?
Cyberkriminelle nutzen eine Reihe von Strategien, um anfällige Systeme anzugreifen - und RCE-Angriffe (Remote Code Execution) sind eine der häufigsten Strategien. In der Tat, laut dem 2020 Global Threat Intelligence Report von NTTwaren RCE-Angriffe die am häufigsten beobachtete Angriffstechnik.
Der Reiz eines RCE-Angriffs liegt auf der Hand: Ein Bedrohungsakteur, der sich irgendwo auf der Welt befindet, kann Ihre Systeme angreifen. RCE ermöglicht einen Angriff aus der Ferne, der es dem Angreifer ermöglicht, unbeschadet davonzukommen, während Ihr Betrieb, Ihre Daten und Ihr Unternehmen irreparablen Schaden erleiden.
In diesem Artikel erläutern wir, was ein Angriff mit entfernter Codeausführung ist, zeigen einige der relevantesten Beispiele von Angriffen mit entfernter Codeausführung aus der Praxis auf und stellen die besten Methoden vor, die Ihr Unternehmen befolgen sollte, um einen erfolgreichen RCE-Angriff zu verhindern.
Was genau ist ein Angriff mit Remote-Code-Ausführung?
Der Hinweis steckt in der Abkürzung: Bei einem Angriff mit entfernter Ausführung wird Code auf Ihrem Server von einem entfernten Angreifer ausgeführt. Mit anderen Worten: Ein Angreifer nutzt eine Sicherheitslücke, um auf Ihr Gerät oder Ihren Server zuzugreifen und Befehle auszuführen, unabhängig davon, wo auf der Welt Sie sich befinden - oder wo auf der Welt der Angreifer sich befindet.
RCE-Angriffe variieren in Form und Ausprägung. Ein Angreifer kann einfach bösartigen Code auf Ihrem Gerät ausführen, um einen bestimmten Zweck zu erreichen. Ein RCE-Angriff kann aber auch bedeuten, dass ein Angreifer die volle und vollständige Kontrolle über Ihr Gerät übernimmt - einschließlich des Zugriffs auf Anwendungen und Dienste mit erhöhten Berechtigungen.
Im Allgemeinen beruhen RCE-Angriffe auf der Ausnutzung einer bestimmten Schwachstelle. Dabei kann es sich um eine Schwachstelle in der Netzwerkverteidigung, eine Sicherheitslücke in einer Ihrer Anwendungen oder eine noch nicht gepatchte Schwachstelle im Betriebssystem handeln.
Wie lässt sich ein RCE-Angriff mit einem ACE-Angriff vergleichen?
Nebenbei bemerkt: RCE-Angriffe sind eine Untergruppe der so genannten ACE-Angriffe (Arbitrary Code Execution). Wie bei RCE-Angriffen führt der Angreifer bei einem ACE-Angriff beliebige Befehle auf Ihrem Computer ohne Ihre Erlaubnis aus, und zwar mit schändlichen Zielen. Der Unterschied zwischen einem ACE-Angriff und einem RCE-Angriff besteht natürlich darin, dass sich der Täter im Falle eines RCE-Angriffs an einem entfernten Ort befindet, während der Angreifer hinter einem ACE-Angriff in Ihren Räumlichkeiten sein kann.
Gängige Arten von RCE-Angriffen
Um Ihnen eine Vorstellung von der großen Reichweite und den großen Gefahren von Remote-Execution-Angriffen zu geben, stellen wir Ihnen einige der häufigsten RCE-Angriffsvektoren vor. Alle diese Angriffe hängen von einer bestimmten Schwachstelle ab, und in jedem Szenario hat der Angreifer das Ziel, sich unbefugten Zugriff auf Ihre Systeme zu verschaffen. Es gibt drei typische Angriffsformate:
Angriffe auf die Deserialisierung
Bei der Datenserialisierung werden komplexe Datenstrukturen, z. B. Felder und Objekte, in eine flachere Datenstruktur übersetzt, die in einem einfachen sequentiellen Datenstrom gesendet werden kann. Dieser Datenstrom muss wiederhergestellt werden - und dieser Vorgang wird Deserialisierung genannt. In dieser Phase kann ein Angreifer eingreifen, da der Deserialisierungsprozess zur unbeabsichtigten Ausführung von Binärcode führen kann. Angreifer versuchen, die serialisierten Daten zu verändern und dadurch Code in die veränderten Datenobjekte einzufügen.
Pufferüberlauf-Angriff
Eine weit verbreitete Strategie, die keineswegs nur bei Remote-Angriffen zum Einsatz kommt, ist der Pufferüberlauf-Angriff. Dabei nutzt ein Angreifer eine Sicherheitslücke aus, die es ihm ermöglicht, Daten im Speicher zu überschreiben. Bedrohungsakteure können dies tun, um einfache Geräte wie Netzwerk-Controller zum Absturz zu bringen, Daten auf einem Computer zu zerstören oder sogar bösartigen Code in einen Computer einzufügen, der es dem Angreifer wiederum ermöglicht, einen RCE-Angriff durchzuführen.
Typ Verwirrungsangriff
Wenn ein Teil des Codes keine Maßnahmen ergreift, um die Integrität eines übergebenen Objekts zu überprüfen, besteht die Gefahr, dass es zu einer Typverwechslung kommt. Typverwechslung ist gefährlich, weil sie es einem Angreifer ermöglicht, Code einzuschleusen, der beliebige Befehle ausführen kann - einfach indem er eine Diskrepanz zwischen den Objekttypen erzeugt.
Die Ziele von RCE-Angriffen
Wie bei jedem unbefugten Zugriff auf Ihre Systeme sind auch die Ziele von RCE-Angriffen sehr unterschiedlich. Die Beweggründe für RCE-Angriffe hängen von Ihrem Geschäftsfeld, Ihren Kunden und den Daten ab, die Sie besitzen. Ein Angriff könnte eines der folgenden Ziele verfolgen:
- Infiltrieren und überwachen. Angreifer können RCE-Angriffe einfach nutzen, um in Ihr Netz einzudringen, z. B. zur Unternehmensspionage. RCE könnte der erste Schritt eines umfassenderen Angriffs sein, der mit Sicherheit eine ständige Überwachung Ihres Betriebs mit sich bringen kann.
- Daten stehlen. RCE-Angriffe können die Tür zur Installation von weiterem Code öffnen, was wiederum zur Datenübertragung führen kann. Ausgehend von einem RCE-Angriff kann ein Cyberkrimineller die Kontrolle über Ihre Computerressourcen erlangen, um schließlich große Mengen an Daten abzuschöpfen.
- Unterbrechung. Angreifer können eine RCE-Schwachstelle nutzen, um in Ihr System einzudringen und es zu stören. Ein einfacher Pufferüberlauf-Angriff kann beispielsweise Ihren Betrieb erheblich stören. Folglich können Angreifer ihre Ziele erreichen, indem sie dafür sorgen, dass Ihre Online-Präsenz offline ist - oder indem sie eine andere Störung verursachen, die Ihnen oder Ihren Kunden Unannehmlichkeiten bereitet oder Kosten verursacht.
Es gibt jedoch ein Ziel, das viele Sicherheitsverletzungen antreibt - und das wohl auch für die große Verbreitung von RCE-Angriffen in der Praxis verantwortlich ist.
Illegales Cryptomining - eine Triebkraft hinter RCE-Angriffen
Eine Umfrage des Cybersecurity-Unternehmens Imperva aus dem Jahr 2018 enthielt eine verblüffende Zahl. Laut der Untersuchung von Imperva, wurden fast 90 % aller RCE-Angriffe durch ein einziges Ziel motiviert: die Installation und Ausführung von Kryptomining-Software auf der Hardware des Opfers.
Warum sollten sich Kriminelle so viel Mühe machen, um Kryptomining-Software auf Ihren Systemen zu installieren? Ganz einfach: Kryptomining kann große Gewinne bringen, aber nur, wenn Sie über die erforderlichen Computerressourcen verfügen, die Sie für das Mining von Kryptowährungen einsetzen können.
Mit RCE-Angriffen versuchen Kriminelle, Ihre Computerressourcen auszunutzen, um genügend kryptografische Probleme zu lösen, um Kryptowährung gewinnbringend zu schürfen. Der RCE-Angriff ermöglicht es ihnen, Krypto-Mining-Software auf Ihren Geräten auszuführen, ohne für Strom, Hardware-Ressourcen und Ähnliches zu bezahlen.
Auf den ersten Blick fragen Sie sich vielleicht, warum Sie so besorgt darüber sein sollten, dass jemand Ihre Computerressourcen nutzt, um mathematische Probleme zu lösen - aber es gibt ein paar Punkte, die Sie beachten sollten. Erstens kann RCE-fähiges Kryptomining Sie teuer zu stehen kommen, was den Stromverbrauch und die Abnutzung der Hardware angeht.
Außerdem kann jede nicht autorisierte Software auf Ihren Systemen zu einem weiteren, umfassenderen Verstoß führen. Außerdem verstoßen Sie damit gegen Ihre Compliance-Verpflichtungen. Sie können einfach nicht zulassen, dass kriminelle Akteure unbekannten, nicht autorisierten Code auf Ihren Systemen ausführen - ganz gleich, wie harmlos der Code zu sein scheint.
Beispiele für bemerkenswerte RCE-Schwachstellen
RCE-Angriffe sind so alltäglich, allgegenwärtig und weit verbreitet, dass es schwierig ist, unter den zahllosen Beispielen, die alles von Front-End-Software bis hin zur Server-Infrastruktur betreffen, eine Auswahl zu treffen. Werfen wir einen Blick auf ein paar Beispiele, um zu verdeutlichen, wie weit verbreitet RCE-Angriffe wirklich sind.
Log4j ist eine große Sache. Am 10. Dezember 2021 wurde eine schwerwiegende Sicherheitslücke in Log4j, bekannt als Log4Shell (CVE-2021-44228), bekannt gegeben. Diese Schwachstelle mit einem kritischen Schweregrad und einem maximalen CVSS-Score von 10 wurde von Chen Zhaojun vom Cloud Security Team von Alibaba entdeckt. Die Sicherheitslücke betrifft fast alle Versionen von Log4j2, einem beliebten Java-Protokollierungs-Framework.
Eine beträchtliche Anzahl von Java-Anwendungsframeworks setzt auf Log4j als Standard-Protokollierungsframework. Bemerkenswerte Beispiele sind Apache Struts 2. Es handelt sich also um eine äußerst gefährliche und weit verbreitete RCE-Schwachstelle die bereits mehrfach ausgenutzt wurde.
Nehmen wir als nächstes die beliebte Kommunikationsplattform Discord. Im Oktober 2020fand ein Sicherheitsforscher eine RCE-Schwachstelle in der Desktop-App der Plattform. Es handelte sich zwar nicht um die eklatanteste Schwachstelle, da der Forscher drei Schwachstellen aneinanderreihen musste, um den Remote-Code in der Discord-App auszuführen, aber die RCE-Schwachstelle war dennoch real - sie könnte mehr als 100 Millionen aktive Discord-Nutzer betreffen.
Eine andere verbreitete Kommunikationsplattform, vBulletin, litt unter einem RCE-Bug, der als "lächerlich einfach auszunutzen" bezeichnet wurde. Nach Angaben von Bleeping Computerberuht der Exploit auf nur einer Codezeile - und betrifft ein Bulletin, das von großen Namen wie Sony und Steam bis hin zu Pearl Jam und der NASA verwendet wird. Die Auswirkungen waren real: Kurz nach der Veröffentlichung des Zero-Day-Exploits begannen die Angriffe fast sofort - sogar das damalige Forum von vBulletin war betroffen.
Es gibt unzählige Beispiele. Nehmen Sie die SMBGhost RCE-Schwachstelle. Im Juni 2020 wurde ein Proof-of-Concept veröffentlicht, das zeigte, wie ein kritischer RCE-Hack laut FBI zu einer großen Anzahl von Angriffen führen könnte. Microsoft hat zwar ein Update für diese Schwachstelle veröffentlicht, aber das Patching wird natürlich nicht immer konsequent angewendet - ein Punkt, auf den wir im nächsten Abschnitt zurückkommen werden.
Dies sind nur einige wenige Beispiele für weit verbreitete RCE-Schwachstellen, die sich in freier Wildbahn befinden. Die Beispiele häufen sich einfach jeden Tag, Sehen Sie sich nur die Liste der RCE-Angriffe an, die ständig auf The Daily Swig zu finden sind.
Beste Praktiken zum Schutz vor einem RCE-Angriff
Sie wissen einfach nicht, ob ein Angreifer Ihre Systeme ins Visier nimmt, weil er es auf die Verschlüsselung von Computerressourcen abgesehen hat, oder ob er einen viel ernsteren Zweck verfolgt. In jedem Fall müssen Sie die notwendigen Präventivmaßnahmen ergreifen, um das Risiko eines Cyberangriffs - einschließlich eines RCE-Angriffs - auf ein Minimum zu reduzieren. Hier sind ein paar wichtige Schritte:
- Frühwarnungen und Überwachung. Es ist vielleicht nicht immer möglich, einen RCE-Angriff zu verhindern, aber Frühwarnsysteme können Sie auf eine Sicherheitsverletzung vor Ort hinweisen - oder auf eine Situation, in der ein erfolgreicher Angriff zur fortlaufenden Ausführung von illegalem Code geführt hat. In ähnlicher Weise kann ein Überwachungssystem Ihnen helfen, merkwürdiges Verhalten zu erkennen, das auf einen gefährdeten Server hinweist.
- Firewalls und andere Sicherheitssoftware. Setzen Sie Tools ein, die häufige automatisierte Angriffe verhindern können, z. B. eine Website Application Firewall (WAF). Ebenso sollten Sie Tools zum Scannen von Schwachstellen und für Penetrationstests einsetzen und ausführen, um festzustellen, wo ein RCE-Angriff stattfinden könnte, damit Sie die Schwachstelle beheben können, bevor es zu spät ist.
- Erstellen Sie einen Reaktionsplan. Es ist schwierig, einen RCE-Angriff zu 100 % zu verhindern - selbst die strengsten Sicherheitsmaßnahmen können beeinträchtigt werden. Planen Sie für diesen Fall vor und erstellen Sie einen Reaktionsplan, der Ihrem Unternehmen helfen kann, einen Angriff schnell zu beenden und sich schnell von den möglichen Folgen zu erholen.
Alle oben genannten Punkte sind wichtig, aber es gibt wohl eine wichtige Richtlinie, die mehr als jede andere Richtlinie oder Maßnahme dazu beitragen kann, Ihren Computerbetrieb vor einem Fernangriff zu schützen.
Warum Patching wichtig ist
RCE-Angriffe nutzen in der Regel bekannte Sicherheitsschwachstellen aus. Diese bekannten Schwachstellen werden in der Regel vom Softwarehersteller behoben - durch einen Software-Patch. Das ist alles schön und gut, aber das Problem mit Patches ist, dass ein Patch erst einmal angewendet werden muss..
Als Betreiber von Computerressourcen müssen Sie regelmäßig Patches auf Ihre Hardware- und Softwareressourcen aufspielen, um sicherzustellen, dass bekannte Schwachstellen nicht ausgenutzt werden können. Das klingt nach gesundem Menschenverstand, aber - wie sich herausstellt - ist konsequentes Patchen nicht so einfach, wie es auf den ersten Blick scheint.
Laut CSO Online könnte die Schwierigkeit, konsequent Patches zu installieren, der Grund dafür sein, bei 60 % der Sicherheitsverletzungen eine Schwachstelle ausgenutzt wird, für die es ein wirksames Patch - aber der Patch nicht angewendet wurde.
Rechtzeitiges und konsistentes Patching ist nicht einfach. Es ist ressourcenintensiv und störend, da das Patchen oft Neustarts erfordert, die zu Ausfallzeiten führen. Es gibt jedoch wirksame Tools, die dabei helfen können.
Nur ein Beispiel dafür ist KernelCare - das automatisierte Patching-Tool von TuxCare, das Linux-Server vor gängigen Sicherheitslücken schützt ohne dass ein Neustart des Servers erforderlich ist - oder die damit verbundene Ausfallzeit.
RCE-Angriffe sind weit verbreitet - und Prävention ist der Schlüssel
Es steht außer Frage, dass ein RCE-Angriff zu schwerwiegenden Folgen führen kann. Von einer teuren, ressourcenfressenden Krypto-Miner-Präsenz bis hin zu Datendiebstahl und geschäftskritischen Ausfallzeiten. Auch RCE-Angriffe sind alltäglich und keineswegs ein seltenes Ereignis, das nur den Unglücklichen passiert.
Ihr Unternehmen muss sich daher über RCE-Angriffe im Klaren sein - und sich entschieden gegen diese Angriffe schützen. Wir haben oben einige Tipps genannt, aber der wichtigste Aspekt, den Sie beachten sollten, ist das Patchen.
Mit dem Live-Patching-Service KernelCare von TuxCare können Sie Ihre Linux-Workloads vor RCE-Angriffen zu schützen - durch die Automatisierung von Patches und die Vermeidung von Server-Neustarts. Mehr über KernelCare erfahren Sie hier.