技術支援
文件
登錄
聯繫我們
遠端代碼執行攻擊:它是什麼,如何保護您的系統
斯蒂芬·文特爾
實施期間: 2023年3月14 日 - 技術佈道者
網路犯罪分子使用一系列策略來攻擊易受攻擊的系統,而遠端代碼執行 (RCE) 攻擊是最常見的策略之一。事實上,根據 NTT 的 2020 年全球威脅情報報告,RCE 攻擊是觀察到的最常見的攻擊技術。
對 RCE 攻擊有一個簡單的呼籲:位於世界任何地方的威脅參與者都可以攻擊您的系統。RCE 有助於保持一定距離的攻擊,使攻擊者能夠毫髮無傷地逃脫,而您的運營、數據和業務卻遭受無法彌補的傷害。
在本文中,我們概述了什麼是遠端代碼執行攻擊,指出了一些最相關的遠端執行攻擊的實際示例,並概述了您的組織應遵循的最佳實踐,以防止成功的 RCE 攻擊。
遠端代碼執行攻擊到底是什麼?
線索在首字母縮略詞中:遠端執行攻擊涉及遠端攻擊者在您的伺服器上執行的代碼。換句話說,攻擊者利用漏洞訪問和執行您的設備或伺服器上的命令,無論您身在何處,也無論攻擊者位於世界何處。
RCE 攻擊的形狀和形式各不相同。攻擊者可以簡單地在您的電腦上執行惡意代碼以實現特定目的,但 RCE 攻擊也可能意味著攻擊者完全控制您的設備,包括使用提升的許可權存取應用程式和服務。
通常,RCE 攻擊依賴於利用某種漏洞。這可能是網路防禦的弱點,某個應用程式中的安全漏洞 - 或者未修補的操作系統漏洞。
RCE 攻擊與 ACE 攻擊相比如何?
作為旁注,RCE 攻擊是所謂的任意代碼執行 (ACE) 攻擊的子集。與 RCE 攻擊一樣,在 ACE 攻擊的情況下,攻擊者會在未經您許可的情況下在您的計算設備上執行他們選擇的任意命令,並且這樣做具有邪惡的目標。當然,ACE 攻擊和 RCE 攻擊之間的區別在於,在 RCE 攻擊的情況下,犯罪者位於遠端位置,而 ACE 攻擊背後的攻擊者可能在您的場所。
RCE 攻擊的常見類型
為了讓您了解遠端執行攻擊的廣泛範圍和廣泛危險,我們將概述一些最常見的 RCE 攻擊媒介。所有這些攻擊都取決於特定的漏洞,在每種情況下,攻擊者的目標都是未經授權訪問您的系統。有三種典型的攻擊格式:
反序列化攻擊
數據序列化是將複雜的數據結構(例如字段和物件)轉換為更扁平的數據結構,可以在簡單的順序數據流中發送。此數據流需要恢復 - 該過程稱為反序列化。正是在這個階段,攻擊者可以進行干預,因為反序列化過程可能導致意外執行二進位代碼。攻擊者嘗試修改序列化數據,從而將代碼插入到更改的數據物件中。
緩衝區溢出攻擊
遠端攻擊所獨有的常見策略是緩衝區溢出攻擊。在這裡,攻擊者利用一個漏洞,允許它覆蓋記憶體中保存的數據。威脅行為者可以這樣做,以便使網路控制器等簡單設備崩潰,破壞機器上的數據,或者實際上將惡意代碼插入機器 - 這反過來又使攻擊者能夠發起RCE攻擊。
類型混淆攻擊
當一段代碼不執行操作來驗證傳遞給它的物件的完整性時,它可能會造成類型混淆。類型混淆是危險的,因為它允許攻擊者潛入可以執行任意命令的代碼 – 只需在物件類型中創建不匹配即可。
RCE攻擊的目標
就像任何未經授權訪問您的系統一樣,RCE 攻擊背後的目標差異很大。RCE 攻擊的動機將取決於您的業務領域、您的客戶以及您持有的數據。攻擊可能旨在實現以下任何一項:
- 滲透和監控。攻擊者可以簡單地使用 RCE 攻擊在您的網路內部獲得存在,例如用於企業間諜活動。RCE可能是更廣泛攻擊的第一步 - 這當然可能涉及對您的運營進行持續監控。
- 竊取數據。RCE攻擊可能會為安裝更多代碼打開大門,這反過來又可能導致數據傳輸。從RCE攻擊開始,網路犯罪分子可以建立對計算資源的控制,最終竊取大量數據。
- 中斷。攻擊者可以使用 RCE 漏洞進入您的系統以破壞它。例如,簡單的緩衝區溢出攻擊可能會嚴重中斷您的操作。因此,遠端攻擊者可以通過確保您的在線狀態處於離線狀態或造成另一種給您或您的客戶帶來不便或損失的干擾來實現他們的目標。
然而,有一個目標導致了許多安全漏洞 - 可以說,這是現場RCE攻擊高流行的原因。
非法加密 – RCE 攻擊背後的驅動因素
網路安全公司Imperva在2018年進行的一項調查顯示了一個驚人的數位。根據Imperva的研究, 幾乎90%的RCE攻擊都是由一個目標驅動的:在受害者的硬體上安裝和執行加密軟體。
為什麼犯罪分子會費盡心思在您的系統上安裝加密軟體?簡而言之,加密挖礦可以帶來豐厚的利潤,但前提是您擁有用於挖掘加密貨幣所需的計算資源。
通過RCE攻擊,犯罪分子試圖利用您的計算資源來解決足夠的加密問題,從而有利可圖地挖掘加密貨幣。RCE 攻擊允許他們在您的設備上運行加密挖掘軟體,而無需支付電費、硬體資源等。
乍一看,您可能想知道為什麼您應該如此擔心有人使用您的計算資源來解決數學問題 - 但有幾點需要記住。首先,支援 RCE 的加密挖礦可能會在功耗和硬體磨損方面付出高昂的代價。
接下來,系統上任何未經授權的軟體都可能導致進一步、更廣泛的違規行為。它還會使您違反您的合規義務。您根本不能允許犯罪分子在您的系統上執行未知的、未經授權的代碼——無論代碼看起來多麼無辜。
值得 注意的例子RCE 漏洞
RCE 攻擊是如此普遍、普遍和廣泛,以至於很難在影響從前端軟體到伺服器基礎設施的所有內容的無數例子中進行選擇。讓我們看幾個例子,只是為了說明RCE攻擊到底有多普遍。
Log4j是一個很大的。2021 年 12 月 10 日,Log4j 中披露了一個名為 Log4Shell (CVE-2021-44228) 的嚴重漏洞。這個漏洞的嚴重性級別為嚴重,最高CVSS得分為10分,是由阿裡巴巴雲安全團隊的陳兆軍發現的。該漏洞幾乎影響了Log4j2的所有版本,Log4j2是一種流行的Java日誌記錄框架。
大量的Java應用程式框架依賴於Log4j作為其預設的日誌記錄框架。值得注意的例子包括Apache Struts 2。因此,這是一個高度危險且廣泛的RCE漏洞, 已被多次利用。
接下來,以流行的通信平臺Discord為例。 2020 年 10 月,一位安全研究人員在該平臺的桌面應用程式中發現了一個 RCE 漏洞。這不是最明顯的漏洞,因為研究人員必須將三個漏洞串在一起才能在 Discord 應用程式中執行遠程代碼,但 RCE 漏洞仍然是真實的——可能影響超過 1 億活躍的 Discord 使用者。
另一個常見的通信平臺vBulletin遭受了一個RCE錯誤,該錯誤被稱為“非常容易被利用”。 根據Bleeping Computer的說法,該漏洞僅依賴於一行代碼 - 並影響從索尼和Steam到Pearl Jam和NASA等知名人士使用的公告。影響是真實的:就在零日漏洞發佈后,攻擊幾乎立即開始 - 甚至影響了當時vBulletin的論壇。
這樣的例子數不勝數。 以SMBGhost RCE漏洞為例。根據聯邦調查局的說法,2020 年 6 月,發佈了一個概念驗證,展示了關鍵的 RCE 駭客攻擊如何導致大量攻擊。但是,Microsoft已經發佈了針對此漏洞的修復程式,但是當然,修補並不總是始終如一地應用-我們將在下一節中返回這一點。
這些只是野外普遍存在的RCE漏洞的幾個例子。這些例子每天都在不斷湧現,只要看看 The Daily Swig 上不斷出現的 RCE 攻擊清單。
保護自己免受 RCE 攻擊的最佳實踐
您根本不知道攻擊者是否以您的系統為目標,因為他們正在加密挖掘計算資源,或者出於更嚴重的目的。無論哪種方式,您都必須採取必要的預防措施,以確保您遭受網路攻擊(包括 RCE 攻擊)的風險最小。以下是幾個關鍵步驟:
- 早期警報和監視。可能無法始終阻止 RCE 攻擊,但早期警報系統可能會提示您現場安全漏洞 - 或者成功攻擊導致持續執行非法代碼的情況。同樣,監視系統可以説明您識別指向受感染伺服器的奇怪行為。
- 防火牆和其他安全軟體。部署可以防止常見自動攻擊的工具:例如,考慮網站應用程式防火牆 (WAF)。同樣,部署並運行漏洞掃描工具和滲透測試工具,以幫助確定可能發生 RCE 攻擊的位置,以便您可以在為時已晚之前修復漏洞。
- 制定回應計劃。在 100% 的時間內避免 RCE 攻擊是一項挑戰——即使是最嚴格的安全措施也可能受到損害。規劃該事件並構建回應計劃,以説明您的組織快速結束攻擊,並從可能的後果中快速恢復。
以上所有要點都很重要,但可以說有一個關鍵策略可以比任何其他策略或操作做得更多,以確保您的計算操作免受遠端攻擊。
為什麼修補很重要
RCE 攻擊通常利用已知的安全漏洞。這些已知漏洞通常由軟體供應商通過軟體補丁修復。這一切都很好,但是補丁的問題在於需要應用補丁。
作為計算資源的運營商,您必須定期對硬體和軟體資源應用補丁,以確保已知漏洞不會被利用。這似乎是常識,但事實證明,一致的補丁並不像乍一看那麼容易。
根據CSO Online的數據,持續修補的困難可以解釋為什麼60%的違規行為涉及利用具有有效補丁的漏洞 - 但補丁未應用。
及時和一致的修補並不容易。這是資源密集型和破壞性的,因為修補通常需要重新啟動,從而導致停機。也就是說,有一些有效的工具可以提供説明。
僅舉一個例子,考慮一下KernelCare——TuxCare的自動修補工具,它可以保護Linux伺服器免受常見漏洞的影響,而無需重新啟動伺服器——或隨之而來的停機時間。
RCE攻擊非常普遍,預防是關鍵
毫無疑問,RCE攻擊會導致嚴重的後果。從昂貴、耗費資源的加密礦工存在,一直到數據盜竊和關鍵業務停機。RCE攻擊也很常見,絕不是只發生在不幸的人身上的罕見事件。
因此,您的組織必須瞭解 RCE 攻擊,並堅決防範這些攻擊。我們在上面提到了一些提示,但您應該注意的最關鍵方面是修補。
TuxCare 的 KernelCare 即時修補服務可以通過自動修補和消除伺服器重啟來幫助保護您的 Linux 工作負載免受 RCE 攻擊。 在此處了解有關 KernelCare 的更多資訊。
