Support technique
Documentation
Connexion
Nous contacter
Attaque par exécution de code à distance : de quoi s'agit-il, comment protéger vos systèmes ?
Le 14 mars 2023 - L'équipe de relations publiques de TuxCare
Les cybercriminels utilisent toute une série de stratégies pour cibler les systèmes vulnérables - et les attaques par exécution de code à distance (RCE) sont l'une des stratégies les plus courantes. En effet, selon le 2020 Global Threat Intelligence Report de NTTles attaques par exécution de code à distance étaient la technique d'attaque la plus courante observée.
L'attrait d'une attaque RCE est simple : un acteur de la menace situé n'importe où dans le monde peut attaquer vos systèmes. Le RCE facilite une attaque à distance qui peut permettre à l'attaquant de s'en sortir indemne alors que vos opérations, vos données et votre entreprise subissent des dommages irréparables.
Dans cet article, nous décrivons ce qu'est une attaque par exécution de code à distance, nous indiquons certains des exemples réels les plus pertinents d'attaques par exécution à distance et nous décrivons les meilleures pratiques que votre organisation devrait suivre pour prévenir une attaque par exécution de code à distance réussie.
Qu'est-ce qu'une attaque par exécution de code à distance ?
L'indice se trouve dans l'acronyme : une attaque par exécution à distance implique l'exécution d'un code sur votre serveur par un attaquant distant. En d'autres termes, un attaquant utilise une vulnérabilité pour accéder à votre appareil ou à votre serveur et y exécuter des commandes, quel que soit l'endroit du monde où vous vous trouvez - ou l'endroit du monde où se trouve l'attaquant.
Les attaques RCE varient en termes de forme et d'aspect. Un attaquant peut simplement exécuter un code malveillant sur votre machine pour atteindre un objectif spécifique, mais une attaque RCE peut également signifier qu'un attaquant prend le contrôle total et complet de votre appareil, y compris l'accès aux applications et aux services en utilisant des privilèges élevés.
En général, les attaques RCE reposent sur l'exploitation d'une certaine forme de vulnérabilité. Il peut s'agir d'une faiblesse dans les défenses du réseau, d'une faille de sécurité dans l'une de vos applications ou d'une vulnérabilité du système d'exploitation qui n'a pas été corrigée.
Quelle est la différence entre une attaque RCE et une attaque ACE ?
Par ailleurs, les attaques RCE sont un sous-ensemble de ce que l'on appelle une attaque par exécution de code arbitraire (ACE). Comme pour les attaques RCE, dans le cas d'une attaque ACE, l'attaquant exécute les commandes arbitraires de son choix sur votre équipement informatique sans votre permission et avec des objectifs malveillants. Bien entendu, la différence entre une attaque ACE et une attaque RCE est que, dans le cas d'une attaque RCE, l'auteur est situé à distance - alors que l'attaquant à l'origine d'une attaque ACE peut se trouver dans vos locaux.
Types courants d'attaques RCE
Pour vous donner une idée de la portée et des dangers considérables que représentent les attaques par exécution à distance, nous allons présenter quelques-uns des vecteurs d'attaque RCE les plus courants. Toutes ces attaques dépendent d'une vulnérabilité spécifique et, dans chaque scénario, l'attaquant a pour objectif d'obtenir un accès non autorisé à vos systèmes. Il existe trois formats d'attaque typiques :
Attaques de désérialisation
La sérialisation des données consiste à traduire des structures de données complexes, par exemple des champs et des objets, en une structure de données plus plate qui peut être envoyée dans un simple flux de données séquentiel. Ce flux de données doit être restauré - et ce processus s'appelle la désérialisation. C'est à ce stade qu'un attaquant peut intervenir, car le processus de désérialisation peut entraîner l'exécution accidentelle d'un code binaire. Les attaquants tentent de modifier les données sérialisées et d'insérer ainsi du code dans les objets de données modifiés.
Attaque par débordement de mémoire tampon
L'attaque par débordement de mémoire tampon est une stratégie courante qui n'est en aucun cas propre aux attaques à distance. Dans ce cas, un attaquant exploite une vulnérabilité qui lui permet d'écraser les données contenues dans la mémoire. Les acteurs de la menace peuvent agir de la sorte afin de faire tomber en panne des dispositifs simples tels que des contrôleurs de réseau, de détruire des données sur une machine ou même d'insérer un code malveillant dans une machine - ce qui permet à l'attaquant de monter une attaque RCE.
Attaque par confusion de type
Lorsqu'un morceau de code ne prend pas de mesures pour vérifier l'intégrité d'un objet qui lui est transmis, il risque de créer une confusion de types. La confusion de type est dangereuse car elle permet à un attaquant d'introduire en douce du code capable d'exécuter des commandes arbitraires - simplement en créant une discordance entre les types d'objets.
Les objectifs des attaques RCE
Comme pour tout accès non autorisé à vos systèmes, les objectifs des attaques RCE sont très variables. Les motivations des attaques RCE dépendent de votre domaine d'activité, de vos clients et des données que vous détenez. Une attaque peut viser l'un des objectifs suivants :
- S'infiltrer et surveiller. Les attaquants peuvent simplement utiliser les attaques RCE pour s'introduire dans votre réseau, à des fins d'espionnage d'entreprise par exemple. L'attaque RCE peut être la première étape d'une attaque plus large, qui peut certainement impliquer une surveillance continue de vos opérations.
- Voler des données. Les attaques RCE peuvent ouvrir la voie à l'installation d'autres codes, qui peuvent à leur tour conduire à la transmission de données. En commençant par une attaque RCE, un cybercriminel peut prendre le contrôle de vos ressources informatiques pour finalement siphonner de grandes quantités de données.
- Perturbations. Les attaquants peuvent utiliser une vulnérabilité RCE pour pénétrer dans vos systèmes afin de les perturber. Une simple attaque par débordement de mémoire tampon, par exemple, peut perturber considérablement vos opérations. Par conséquent, les attaquants distants peuvent atteindre leurs objectifs en s'assurant que votre présence en ligne est hors ligne - ou en causant d'autres perturbations qui vous gênent ou vous coûtent, à vous ou à vos clients.
Cependant, un objectif est à l'origine de nombreuses violations de la sécurité - et il est sans doute responsable de la forte prévalence des attaques RCE sur le terrain.
Cryptomining illicite - un moteur derrière les attaques RCE
Une étude réalisée en 2018 par la société de cybersécurité Imperva contient un chiffre étonnant. Selon les recherches d'Imperva, près de 90 % de toutes les attaques RCE étaient motivées par un seul objectif : l'installation et l'exécution d'un logiciel de cryptomining sur le matériel de la victime.l'installation et l'exécution d'un logiciel de cryptomining sur le matériel de la victime.
Pourquoi des criminels se donneraient-ils tant de mal pour installer des logiciels de cryptomining sur vos systèmes? Pour faire simple, le cryptomining peut rapporter gros, mais uniquement si vous disposez des ressources informatiques nécessaires pour le minage de crypto-monnaies.
Avec les attaques RCE, les criminels tentent d'exploiter vos ressources informatiques afin de résoudre suffisamment de problèmes de cryptographie pour extraire de la crypto-monnaie de manière rentable. L'attaque RCE leur permet d'exécuter un logiciel de minage de crypto-monnaie sur votre équipement sans payer l'électricité, les ressources matérielles, etc.
À première vue, vous pouvez vous demander pourquoi vous devriez être si inquiet de voir quelqu'un utiliser vos ressources informatiques pour résoudre des problèmes mathématiques - mais il y a quelques points à garder à l'esprit. Tout d'abord, le cryptomining activé par le RCE peut vous coûter cher en termes de consommation d'énergie et d'usure du matériel.
Ensuite, tout logiciel non autorisé sur vos systèmes peut conduire à une violation plus importante. Vous ne respecterez pas non plus vos obligations en matière de conformité. Vous ne pouvez tout simplement pas permettre à des acteurs criminels d'exécuter un code inconnu et non autorisé sur vos systèmes, même si ce code semble innocent.
Exemples de vulnérabilités notables Vulnérabilités RCE
Les attaques RCE sont si courantes, si omniprésentes et si répandues qu'il est difficile de faire un choix parmi les innombrables exemples qui touchent tout, des logiciels frontaux à l'infrastructure des serveurs. Examinons quelques exemples pour illustrer à quel point les attaques RCE sont réellement répandues.
Log4j est une vulnérabilité importante. Le 10 décembre 2021, une grave vulnérabilité dans Log4j, connue sous le nom de Log4Shell (CVE-2021-44228), a été divulguée. Cette vulnérabilité, avec un niveau de gravité critique et un score CVSS maximum de 10, a été découverte par Chen Zhaojun de l'équipe Alibaba's Cloud Security. La vulnérabilité affecte presque toutes les versions de Log4j2, qui est un cadre de journalisation Java populaire.
Un nombre important de cadres d'applications Java utilisent Log4j comme cadre de journalisation par défaut. Parmi les exemples notables, on peut citer Apache Struts 2. Il s'agit donc d'une vulnérabilité RCE très dangereuse et très répandue qui a déjà été exploitée à de nombreuses reprises.
Prenons ensuite la plate-forme de communication populaire Discord. En octobre 2020un chercheur en sécurité a découvert une vulnérabilité RCE dans l'application de bureau de la plateforme. Il ne s'agissait pas de la vulnérabilité la plus flagrante, car le chercheur a dû combiner trois vulnérabilités pour exécuter le code à distance dans l'application Discord, mais la vulnérabilité RCE était néanmoins réelle - affectant potentiellement plus de 100 millions d'utilisateurs actifs de Discord.
Une autre plate-forme de communication courante, vBulletin, a été victime d'un bogue RCE qui a été qualifié de "ridiculement facile à exploiter". Selon Bleeping Computerl'exploit ne repose que sur une seule ligne de code et affecte un bulletin utilisé par de grands noms tels que Sony, Steam, Pearl Jam et la NASA. Les répercussions ont été réelles : juste après la publication de l'exploit "zero-day", les attaques ont commencé presque immédiatement, affectant même le forum vBulletin de l'époque.
Les exemples sont innombrables. Prenons la vulnérabilité RCE de SMBGhost. En juin 2020, une preuve de concept a été publiée qui montrait comment un piratage RCE critique pouvait conduire à un grand nombre d'attaques selon le FBI. Microsoft a toutefois publié un correctif pour cette vulnérabilité, mais les correctifs ne sont pas toujours appliqués de manière cohérente - un point sur lequel nous reviendrons dans la section suivante.
Il ne s'agit là que de quelques exemples de vulnérabilités RCE répandues dans la nature. Les exemples ne cessent d'affluer chaque jour, Il suffit de regarder la liste des attaques RCE qui sont continuellement présentes sur The Daily Swig.
Meilleures pratiques pour se protéger contre une attaque RCE
Vous ne savez tout simplement pas si un attaquant cible vos systèmes parce qu'il cherche à crypter des ressources informatiques, ou dans un but beaucoup plus sérieux. Quoi qu'il en soit, vous devez prendre les mesures préventives nécessaires pour réduire au minimum le risque de cyberattaque, y compris une attaque RCE. Voici quelques étapes clés :
- Alertes précoces et surveillance. Il n'est pas toujours possible d'empêcher une attaque RCE, mais les systèmes d'alerte précoce peuvent vous avertir d'une faille de sécurité in situ - ou d'une situation où une attaque réussie a conduit à l'exécution continue d'un code illicite. De même, un système de surveillance peut vous aider à identifier un comportement étrange qui indique un serveur compromis.
- Pare-feu et autres logiciels de sécurité. Déployez des outils capables de prévenir les attaques automatisées courantes : envisagez par exemple un pare-feu d'application de site web (WAF). De même, déployez et utilisez des outils d'analyse des vulnérabilités et des outils de test de pénétration pour vous aider à identifier les endroits où une attaque RCE pourrait avoir lieu, afin que vous puissiez corriger la vulnérabilité avant qu'il ne soit trop tard.
- Élaborer un plan de réponse. Il est difficile d'éviter une attaque RCE à 100 % - même les mesures de sécurité les plus strictes peuvent être compromises. Préparez-vous à cette éventualité et élaborez un plan d'intervention qui aidera votre organisation à mettre rapidement fin à une attaque et à se remettre rapidement des conséquences éventuelles.
Tous les points ci-dessus sont importants, mais il existe une politique clé qui peut faire plus que toute autre politique ou action pour protéger vos opérations informatiques contre une attaque à distance.
L'importance du rapiéçage
Les attaques RCE exploitent généralement des failles de sécurité connues. Ces vulnérabilités connues sont généralement corrigées par l'éditeur du logiciel, au moyen d'un correctif. C'est très bien, mais le problème avec les correctifs, c'est qu'ils doivent être appliqué.
En tant qu'opérateur de ressources informatiques, vous devez régulièrement appliquer des correctifs à vos ressources matérielles et logicielles afin de vous assurer que les vulnérabilités connues ne peuvent pas être exploitées. Cela semble relever du bon sens, mais il s'avère que l'application régulière de correctifs n'est pas aussi facile qu'il n'y paraît à première vue.
Selon CSO Online, la difficulté à appliquer des correctifs de manière cohérente peut expliquer cette situation, 60 % des brèches impliquent l'exploitation d'une vulnérabilité dotée d'un correctif efficace - mais où le correctif n'a pas été appliqué.
Il n'est pas facile d'appliquer des correctifs en temps voulu et de manière cohérente. Cela demande beaucoup de ressources et perturbe l'activité, car les correctifs nécessitent souvent des redémarrages qui entraînent des temps d'arrêt. Cela dit, il existe des outils efficaces qui peuvent aider.
Voici un exemple parmi d'autres KernelCare - l'outil de correction automatisé de TuxCare qui maintient les serveurs Linux à l'abri des vulnérabilités les plus courantes sans nécessiter de redémarrage du serveur - ni les temps d'arrêt qui en découlent.
Les attaques RCE sont très répandues - et la prévention est essentielle
Il ne fait aucun doute qu'une attaque RCE peut avoir de graves conséquences. De la présence d'un mineur de crypto-monnaie coûteux et gourmand en ressources, jusqu'au vol de données et temps d'arrêt critique pour l'entreprise. Les attaques RCE sont également monnaie courante et ne sont en aucun cas un événement rare qui n'arrive qu'aux malchanceux.
Votre organisation doit donc être consciente des attaques RCE - et se prémunir fortement contre ces attaques. Nous avons mentionné quelques conseils ci-dessus, mais l'aspect le plus critique dont vous devez prendre soin est l'application de correctifs.
Le service de correctifs en direct KernelCare de TuxCare peut vous aider à protéger vos charges de travail Linux contre les attaques RCE - en automatisant les correctifs et en éliminant les redémarrages de serveurs. des attaques RCE - en automatisant les correctifs et en éliminant les redémarrages de serveurs. Pour en savoir plus sur KernelCare, cliquez ici..
