Comment cela fonctionne-t-il ?
La vulnérabilité RCE permet à un attaquant d'exécuter du code arbitraire sur un périphérique distant. Un attaquant peut réaliser un RCE de différentes manières, notamment :
- Attaques par injection : De nombreux types de application, tels que les requêtes SQL, utilisent des données fournies par l'utilisateur comme entrée d'une commande. Dans une attaque par injection, l'attaquant fournit délibérément des données mal formées qui font qu'une partie de ses données est interprétée comme faisant partie de la commande. Cela permet à un attaquant de façonner les commandes exécutées sur le système vulnérable ou d'y exécuter du code arbitraire.
- Attaques de désérialisation : application La sérialisation est couramment utilisée pour combiner plusieurs données en une seule chaîne afin de faciliter leur transmission ou leur communication. Les données de l'utilisateur spécialement formatées dans les données sérialisées peuvent être interprétées par le programme de désérialisation comme un code exécutable.
- Écriture hors limites : application alloue régulièrement des morceaux de mémoire de taille fixe pour stocker des données, y compris des données fournies par l'utilisateur. Si cette allocation de mémoire n'est pas effectuée correctement, un attaquant peut être en mesure de concevoir une entrée qui écrit en dehors de la mémoire tampon allouée. Comme le code exécutable est également stocké dans la mémoire, les données fournies par l'utilisateur et écrites au bon endroit peuvent être exécutées par l'application.
Exemples d'attaques RCE
Les vulnérabilités RCE font partie des vulnérabilités les plus dangereuses et les plus impactantes qui existent. De nombreuses cyberattaques majeures ont été rendues possibles par la vulnérabilité des RCE, notamment :
- Log4J: Log4J est une bibliothèque de journalisation Java populaire qui est utilisée dans de nombreux services Internet et application. En décembre 2021, de multiples vulnérabilités RCE ont été découvertes dans Log4J. Elles permettaient aux attaquants d'exploiter la vulnérabilité de application pour exécuter des cryptojackers et d'autres logiciels malveillants sur les serveurs compromis.
- ETERNALBLUE : WannaCry a apporté un logiciel rançonneur en 2017. Le ver WannaCry logiciel rançonneur s'est propagé en exploitant une vulnérabilité dans le protocole Server Message Block (PME). Cette vulnérabilité permet à un attaquant d'exécuter un code malveillant sur des machines vulnérables, ce qui permet au logiciel rançonneur d'accéder à des fichiers précieux et de les chiffrer.
La menace du CRE
Les attaques du CRE sont conçues pour atteindre divers objectifs. La principale différence entre tout autre exploit et le RCE est qu'il va de la divulgation d'informations au déni de service en passant par l'exécution de code à distance.
Les principales conséquences d'une attaque RCE sont les suivantes :
- Accès initial : Les attaques RCE commencent généralement par une vulnérabilité dans une application publique qui permet d'exécuter des commandes sur la machine sous-jacente. Les attaquants peuvent s'en servir pour prendre pied sur un appareil afin d'y installer un logiciel malveillant ou d'atteindre d'autres objectifs.
- Divulgation d'informations : Les attaques RCE peuvent être utilisées pour installer un logiciel malveillant de vol de données ou pour exécuter directement des commandes qui extraient et exfiltrent des données de l'appareil vulnérable.
- Déni de service : Une vulnérabilité RCE permet à un attaquant d'exécuter du code sur le système hébergeant l'application vulnérable. Cela pourrait leur permettre de perturber le fonctionnement de cette application ou d'autres applications sur le système.
- Cryptomining : Cryptomining ou cryptojacking Le logiciel malveillant utilise les ressources informatiques d'un appareil compromis pour miner de la crypto-monnaie. Les vulnérabilités RCE sont couramment exploitées pour déployer et exécuter un logiciel de cryptomining malveillant sur un appareil vulnérable.
- Ransomwares : logiciel rançonneur est un logiciel malveillant conçu pour empêcher un utilisateur d'accéder à ses fichiers jusqu'à ce qu'il paie une rançon. La vulnérabilité RCE peut également être utilisée pour déployer et exécuter un logiciel rançonneur sur un appareil vulnérable.
Bien qu'il s'agisse là de quelques-uns des impacts les plus courants des vulnérabilités RCE, une vulnérabilité RCE peut permettre à un attaquant d'accéder à un appareil compromis et d'en prendre le contrôle, ce qui en fait l'un des types de vulnérabilités les plus dangereux et les plus critiques.
Atténuation et détection des attaques RCE
Les attaques RCE peuvent tirer parti de toute une série de vulnérabilités, ce qui fait qu'il est difficile de s'en protéger avec une seule approche. Voici quelques bonnes pratiques pour détecter et atténuer les attaques RCE :
- Assainissement des entrées : Les attaques RCE tirent généralement parti de vulnérabilités liées à l'injection et à la désérialisation. La validation de l'entrée utilisateur avant son utilisation dans une application permet de prévenir de nombreux types d'attaques RCE.
- Gestion sécurisée de la mémoire : Les attaquants RCE peuvent également exploiter des problèmes liés à la gestion de la mémoire, tels que des débordements de tampon. application devraient faire l'objet d'une analyse de vulnérabilité afin de détecter les débordements de mémoire tampon et d'autres vulnérabilités afin de détecter ces erreurs et d'y remédier.
- Inspection de la circulation : Comme leur nom l'indique, les attaques RCE se produisent sur le réseau, un attaquant exploitant un code vulnérable et l'utilisant pour obtenir un accès initial aux systèmes de l'entreprise. Une organisation doit déployer des solutions de sécurité réseau capables de bloquer les tentatives d'exploitation des sites vulnérables application et de détecter la prise de contrôle à distance des systèmes de l'entreprise par un pirate.
- Access Control: Une attaque RCE permet à un attaquant de prendre pied sur le réseau de l'entreprise et de l'étendre pour atteindre ses objectifs finaux. En mettant en œuvre Segmentation du réseauGrâce à la gestion des accès et à une stratégie de sécurité sans confiance, une organisation peut limiter la capacité d'un attaquant à se déplacer dans le réseau et à tirer parti de son accès initial aux systèmes de l'entreprise.
Les Check Point pare-feu permettent à une organisation de détecter et d'empêcher les tentatives d'exploitation de la vulnérabilité RCE via des attaques par injection ou par débordement de mémoire tampon. Le fait de placer application derrière un pare-feu permet de réduire considérablement le risque qu'ils représentent pour l'organisation.
Check Point peut également aider les organisations qui travaillent à remédier à une vulnérabilité RCE ou qui ont subi une attaque RCE. Si vous avez besoin d'aide pour faire face à une RCE ou à une autre cyberattaque, contact Check Point support.