Удаленное выполнение кода (RCE) — это когда злоумышленник запускает вредоносный код в вашей ИТ-инфраструктуре. Цель RCE варьируется от дальнейшего проникновения в вашу сеть, кражи информации или иного нанесения ущерба, вымогательства или кражи у вас или вашего бизнеса. По этой причине защита ваших компьютеров и сети от атак RCE имеет жизненно важное значение.
В этой статье объясняется, что такое удаленное выполнение кода, и влияние RCE на ваш бизнес. В нем также объясняются механизмы, используемые для использования вашей инфраструктуры, потенциальные риски и подробно описаны стратегии предотвращения RCE, которые вам следует реализовать.
Что такое удаленное выполнение кода (RCE)?
Уязвимости RCE позволяют удаленным злоумышленникам выполнять свой код на ваших компьютерах, подключенных к сети. Обычно при этом используются существующие уязвимости в вашей сети или компьютерных системах: как только обнаружена уязвимость, позволяющая удаленное выполнение кода, ее можно использовать для выполнения вредоносных действий и дальнейшего открытия вашей сети для атак кибербезопасности.
Ключевая концепция RCE заключается в том, что для успешного использования эксплойта не требуется никакого предыдущего уровня доступа, в отличие от атак локального выполнения кода (LCE), когда некоторый уровень пользовательских привилегий уже доступен злоумышленнику в системе.
Атаки на выполнение кода RCE и LCE известны как выполнение произвольного кода (ACE).
Методы и механизмы эксплуатации RCE
Существует несколько методов эксплуатации, которые обычно используются для успешного выполнения RCE-атаки на вашу инфраструктуру:
- Переполнение буфера или запись за пределами буфера. Переполнение буфера происходит, когда в буфер (место в памяти компьютера для хранения временных данных) записывается больше данных, чем он может вместить, что приводит к перезаписи существующих данных для работающего приложения. Если эти новые данные содержат вредоносный код, он может быть выполнен удаленной системой.
- Десериализация: Сериализация/десериализация — это процесс преобразования данных в строки символов для передачи. Если данные, передаваемые в программу, выполняющую десериализацию, содержат вредоносный код, программа может выполнить его, если не выполнит надлежащую проверку или очистку.
- Внедрение команд и кода. Внедрение команд и кода может привести к удаленному выполнению кода, если ввод не очищен должным образом (например, ввод из веб-форм используется для выполнения команд оболочки или операторов SQL).
Любое программное обеспечение, подключенное к сети, уязвимо для RCE, поэтому важно внедрить надежные меры ИТ-безопасности, чтобы защитить себя и свою организацию от инцидентов кибербезопасности.
Стратегии обнаружения и предотвращения уязвимостей RCE
Чтобы эффективно защитить свою ИТ-инфраструктуру и данные, а также обеспечить непрерывность бизнеса, вам следует принять активные меры для защиты от атак RCE, такие как развертывание обнаружения и реагирования на конечных точках (EDR), а также средства защиты на уровне сети, такие как межсетевые экраны, чтобы предотвратить получение дальнейшего доступа в случае успешного использования RCE.
Вам следует регулярно оценивать свои потенциальные уязвимости кибербезопасности и следить за тем, чтобы ваше программное обеспечение всегда было обновлено для защиты от известных эксплойтов RCE в программном обеспечении, на которое вы полагаетесь. Если вы используете устаревшее или непропатченное программное обеспечение, вам следует убедиться, что доступ к его сети ограничен, чтобы его нельзя было использовать для закрепления в ваших системах. Вам также следует развернуть решение для мониторинга сети, которое предупреждает вашу ИТ-команду о любой подозрительной активности, чтобы помочь защититься от атак нулевого дня.
Если вы разрабатываете собственное программное обеспечение самостоятельно, вам следует регулярно проверять свой код и его зависимости на наличие уязвимостей RCE. Инструменты статического анализа кода могут помочь вам выявить проблемы в вашем программном обеспечении, выявляя потенциально небезопасный код (например, функции, которые позволяют передавать несанкционированный код в оболочку). Инструменты динамического анализа также можно использовать для проверки скомпилированных и запущенных приложений на предмет выявления уязвимостей, которые может пропустить статический анализ.
Тестирование на проникновение должно проводиться регулярно для имитации атак и выявления потенциально опасных уязвимостей удаленного выполнения кода и других недостатков кибербезопасности, а также для обеспечения того, чтобы имеющиеся у вас решения для мониторинга и регистрации могли обнаружить атаку в процессе.
Потенциальные риски и последствия RCE
Удаленное выполнение кода не требует физического доступа и без надлежащего мониторинга и мер безопасности может остаться незамеченным. Риски успешной RCE-атаки на ИТ-инфраструктуру вашего бизнеса включают в себя:
- Дальнейшее проникновение в ваши системы: как только будет установлена точка опоры, злоумышленники могут получить дальнейший доступ к вашим системам. Например, скомпрометированный общедоступный веб-сервер может использоваться для получения доступа к внутренним ИТ-ресурсам, к которым он подключается, даже если эти активы защищены межсетевыми экранами и недоступны публично.
- Доступ к конфиденциальным или защищенным данным. Собственная торговая информация, а также данные о ваших пользователях, которые вы обрабатываете и храните, включая личную информацию (PII), могут быть невероятно ценными для злоумышленников и могут использоваться для вымогательства у вашего бизнеса или ваших клиентов. Утечки персональных данных вредят репутации вашего бизнеса, а также могут привести к юридическим последствиям в соответствии с законами о конфиденциальности, такими как GDPR и CCPA.
- Развертывание вредоносного ПО (включая руткиты): как только код может быть успешно выполнен в удаленной системе, его можно использовать для установки вредоносного ПО, в том числе руткитов для поддержания постоянного доступа и бэкдоров, троянов для кражи данных и программ-вымогателей, лишающих вас доступа к вашим файлам. (и даже можете публично раскрыть их содержимое), если вы не заплатите злоумышленнику.
Нарушения, вызванные атаками кибербезопасности, могут нанести ущерб выживанию бизнеса. Потеря операционных данных или ответственность за неправомерное использование регулируемых данных привели к тому, что многим предприятиям пришлось закрыть свои предприятия.
Реальные примеры атак RCE
Есть несколько ярких примеров того, что может произойти, если бизнес не примет адекватных мер для защиты от киберугроз. Утечка данных Equifax в 2017 году была вызвана эксплойтом RCE в веб-инфраструктуре Apache Struts и привела к компрометации личной информации более 140 миллионов человек. Это привело к издержкам Equifax в размере 1,4 миллиарда долларов, понижению финансового рейтинга компании и выплате пострадавшим пользователям компенсации на сумму 1,38 миллиарда долларов.
В 2021 году несколько эксплойтов нулевого дня позволили удаленно выполнять код на сервере Microsoft Exchange Server, что позволило хакерам красть данные и устанавливать бэкдоры в системы. Это привело к тысячам утечек данных по всему миру для организаций, использующих платформу электронной почты (истинные последствия которых, возможно, никогда не будут известны), и значительному репутационному ущербу.
Одной из известных уязвимостей RCE, которая затронула несколько программных продуктов/платформ и широко использовалась, является уязвимость Log4shell в Log4j. Это программное обеспечение используется в миллионах систем, и, учитывая простоту его использования, оно привело к атакам RCE на программное обеспечение огромного количества поставщиков, которые полагались на утилиту регистрации Log4j в своем коммерческом программном обеспечении и внутренних инструментах.
Реагирование и смягчение атак RCE
У вас должны быть политики и механизмы для борьбы с успешной атакой RCE на ваш бизнес. Это должно включать обучение сотрудников распознаванию инцидентов кибербезопасности и реагированию на них, а также мониторинг и оповещение (включая системы обнаружения вторжений), чтобы в случае возникновения атаки с ней можно было немедленно справиться.
После того как атака локализована, необходимо оценить ее последствия, проверить ваши системы и устранить все оставшиеся угрозы. Это должно включать откат любых изменений, внесенных вредоносным кодом, включая удаление вредоносного ПО и отмену любых изменений конфигурации, которые могли быть внесены для создания бэкдора в ваших системах.
Ключевое значение здесь имеют резервное копирование и аварийное восстановление: потенциально вы можете вернуться к заведомо исправному состоянию до атаки, что значительно ускорит время, необходимое для восстановления. Если это невозможно, можно сравнить конфигурации и файлы, чтобы определить, чего удалось достичь злоумышленнику. В случае атаки программы-вымогателя, вызванной RCE, возможность восстановления из резервной копии может оказаться единственным способом обеспечить непрерывность бизнеса.
После того как атака остановлена и устранена, необходимо провести обширное вскрытие: необходимо определить вектор атаки, а уязвимость, использованную в атаке, исправить или защитить. Необходимо проанализировать время реагирования и последствия атаки, а также при необходимости пересмотреть любые политики и процессы, используемые для смягчения последствий атаки.
Защита от удаленного выполнения кода в масштабе предприятия
Успешная атака RCE или другая кибербезопасная атака на ИТ-инфраструктуру вашей организации может иметь катастрофические последствия, приводящие к неожиданным затратам и юридическим последствиям, от которых может быть трудно восстановиться. В условиях растущей сложности ИТ-инфраструктуры, включая множество программных платформ, размещенных в гибридной локальной и облачной инфраструктуре, важно иметь полную видимость поверхности атаки.
