What is Remote Code Execution (RCE)?

Gli attacchi RCE (Remote Code Execution) consentono a un aggressore di eseguire in remoto codice dannoso su un computer. L'impatto di una vulnerabilità RCE può variare dall'esecuzione di malware all'ottenimento del pieno controllo di una macchina compromessa da parte di un aggressore.

Prova Gratuita Report sulla sicurezza informatica, 2022

What is Remote Code Execution (RCE)?

COME FUNZIONA?

Le vulnerabilità RCE consentono a un aggressore di eseguire codice arbitrario su un dispositivo remoto. Un aggressore può ottenere l'RCE in diversi modi, tra cui:

  • Attacchi di iniezione: Molti tipi diversi di applicazioni, come le query SQL, utilizzano i dati forniti dall'utente come input di un comando. In un attacco di tipo injection, l'attaccante fornisce deliberatamente un input malformato che fa sì che parte del suo input venga interpretato come parte del comando. Ciò consente a un aggressore di modellare i comandi eseguiti sul sistema vulnerabile o di eseguire codice arbitrario su di esso.
  • Attacchi di deserializzazione: Le applicazioni utilizzano comunemente la serializzazione per combinare diversi pezzi di dati in un'unica stringa, per rendere più facile la trasmissione o la comunicazione. L'input dell'utente appositamente formattato all'interno dei dati serializzati può essere interpretato dal programma di deserializzazione come codice eseguibile.
  • Scrittura fuori dai limiti: l' applicazione alloca regolarmente blocchi di memoria di dimensioni fisse per memorizzare i dati, compresi quelli forniti dall'utente. Se questa allocazione di memoria viene eseguita in modo errato, un aggressore potrebbe essere in grado di progettare un ingresso che scrive al di fuori del buffer allocato. Poiché anche il codice eseguibile è memorizzato, i dati forniti dall'utente e scritti nel posto giusto possono essere eseguiti dall'applicazione.

Esempi di attacchi RCE

Le vulnerabilità RCE sono tra le più pericolose e ad alto impatto esistenti. Molti cyberattacchi importanti sono stati abilitati da vulnerabilità RCE, tra cui:

  • Log4j: Log4J è una popolare libreria di registrazione Java che viene utilizzata in molti servizi e applicazioni Internet. Nel dicembre 2021, sono state scoperte molteplici vulnerabilità RCE in Log4J che hanno permesso agli aggressori di sfruttare le applicazioni vulnerabili per eseguire cryptojackers e altri malware sui server compromessi.
  • ETERNALBLUE: WannaCry ha portato il ransomware nel mainstream nel 2017. Il worm ransomware WannaCry si è diffuso sfruttando una vulnerabilità nel Server Message Block Protocol (SMB). Questa vulnerabilità permetteva a un aggressore di eseguire codice maligno sulle macchine vulnerabili, consentendo al ransomware di accedere e criptare file preziosi.

La minaccia RCE

Gli attacchi RCE sono progettati per raggiungere diversi obiettivi. La differenza principale tra qualsiasi altro exploit e l'RCE è che spazia tra la divulgazione di informazioni, la negazione del servizio e l'esecuzione di codice da remoto.
Alcuni dei principali impatti di un attacco RCE includono:

  • Accesso iniziale: Gli attacchi RCE iniziano di solito con una vulnerabilità in un'applicazione rivolta al pubblico che concede la possibilità di eseguire comandi sulla macchina sottostante. Gli aggressori possono sfruttarlo per ottenere un punto d'appoggio iniziale su un dispositivo per installare malware o raggiungere altri obiettivi.
  • Divulgazione di informazioni: Gli attacchi RCE possono essere utilizzati per installare malware che rubano i dati o per eseguire direttamente comandi che estraggono ed esfiltrare i dati dal dispositivo vulnerabile.
  • Negazione del servizio: Una vulnerabilità RCE consente a un aggressore di eseguire codice sul sistema che ospita l'applicazione vulnerabile. Ciò potrebbe consentire loro di interrompere le operazioni di questa o di altre applicazioni sul sistema.
  • Cryptomining: Cryptomining o cryptojacking Il malware utilizza le risorse computazionali di un dispositivo compromesso per estrarre criptovalute. Le vulnerabilità RCE sono comunemente sfruttate per distribuire ed eseguire malware di cryptomining su dispositivi vulnerabili.
  • Ransomware: Ransomware è un malware progettato per negare all'utente l'accesso ai propri file fino a quando non paga un riscatto per riottenere l'accesso. Le vulnerabilità RCE possono anche essere utilizzate per distribuire ed eseguire il ransomware su un dispositivo vulnerabile.

Sebbene questi siano alcuni degli impatti più comuni delle vulnerabilità RCE, una vulnerabilità RCE può fornire a un aggressore l'accesso completo e il controllo su un dispositivo compromesso, rendendole uno dei tipi di vulnerabilità più pericolosi e critici.

Mitigazione e rilevamento degli attacchi RCE

Gli attacchi RCE possono sfruttare una serie di vulnerabilità, rendendo difficile proteggersi da essi con un unico approccio. Alcune best practice per rilevare e mitigare gli attacchi RCE includono:

  • Sanificazione dell'ingresso: Gli attacchi RCE sfruttano comunemente le vulnerabilità di iniezione e deserializzazione. La convalida dell'input dell'utente prima di utilizzarlo in un'applicazione aiuta a prevenire molti tipi di attacchi RCE.
  • Gestione sicura della memoria: Gli aggressori RCE possono anche sfruttare problemi di gestione della memoria, come i buffer overflow. L'applicazione deve essere sottoposta a una scansione delle vulnerabilità per rilevare l'overflow del buffer e altre vulnerabilità per individuare e rimediare a questi errori.
  • Ispezione del traffico: Come suggerisce il nome, gli attacchi RCE avvengono attraverso la rete, con un aggressore che sfrutta il codice vulnerabile e lo utilizza per ottenere l'accesso iniziale ai sistemi aziendali. Un'organizzazione dovrebbe implementare soluzioni di sicurezza di rete in grado di bloccare i tentativi di sfruttamento delle applicazioni vulnerabili e di rilevare il controllo remoto dei sistemi aziendali da parte di un aggressore. 
  • Access Control: Un attacco RCE fornisce all'aggressore un punto d'appoggio sulla rete aziendale, che può espandere per raggiungere i suoi obiettivi finali. Implementando Network SegmentationLa gestione degli accessi e una strategia di sicurezza a fiducia zero, un'organizzazione può limitare la capacità di un aggressore di muoversi attraverso la rete e di sfruttare l'accesso iniziale ai sistemi aziendali.

I firewall Check Point consentono a un'organizzazione di rilevare e prevenire i tentativi di sfruttamento delle vulnerabilità RCE tramite attacchi di iniezione o di buffer overflow. Posizionare le applicazioni dietro un firewall aiuta a ridurre drasticamente il rischio che esse comportano per l'organizzazione.

Check Point può anche supportare le organizzazioni che stanno lavorando per rimediare a una vulnerabilità RCE o che hanno subito un attacco RCE. Se ha bisogno di aiuto per affrontare un RCE o un altro attacco informatico, contatti l'assistenza di Check Point.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK