什么是远程代码执行(RCE)？

远程代码执行 (RCE) 攻击允许攻击者在计算机上远程执行恶意代码。RCE 漏洞的影响范围从恶意软件执行到攻击者获得对受感染机器的完全控制。

它是如何工作的？

RCE 漏洞允许攻击者在远程设备上执行任意代码。攻击者可以通过几种不同的方式实现RCE，包括：

• 注入攻击：许多不同类型的应用程序（例如 SQL 查询）使用用户提供的数据作为命令的输入。在注入攻击中，攻击者故意提供格式错误的输入，导致他们的部分输入被解释为命令的一部分。这使攻击者能够塑造在易受攻击的系统上执行的命令或在其上执行任意代码。
• 反序列化攻击：应用程序通常使用序列化将多条数据组合成一个字符串，以使其更容易传输或通信。反序列化程序可以将序列化数据内的特殊格式化用户输入解释为可执行代码。
• 越界写入：应用程序定期分配固定大小的内存块来存储数据，包括用户提供的数据。如果错误执行此内存分配，则攻击者可能能够设计在分配的缓冲区外写入​​的输入。由于可执行代码也存储在内存中，因此应用程序可以执行在正确位置编写的用户提供的数据。

RCE 攻击示例

RCE脆弱性是现有的一些最危险和高影响力的漏洞。RCE漏洞启用了许多主要的网络攻击，包括：

• log4j：log4j是一个流行的Java记录库，用于许多Internet服务和应用程序。在2021年12月，在Log4J中发现了多个RCE漏洞，该漏洞允许攻击者利用弱势应用程序来执行Cryptojackers和其他恶意软件，并在受损的服务器上执行其他恶意软件。
• Eternalblue： WannaCry于2017年将勒索软件带入主流。WannaCry勒索软件蠕虫通过利用服务器消息块协议（SMB）中的漏洞来扩散。此漏洞使攻击者能够在脆弱的机器上执行恶意代码，从而使勒索软件能够访问和加密有价值的文件。

RCE 威胁

RCE攻击旨在实现各种目标。RCE 的任何其他漏洞利用之间的主要区别在于，它介于信息泄露、拒绝服务和远程代码执行之间。RCE 攻击的一些主要影响包括：

• 初始访问：RCE攻击通常是在面向公共的应用程序中开始的漏洞，该应用程序赋予了在基础机上运行命令的能力。攻击者可以使用它来获得设备上的初始立足，以安装恶意软件或实现其他目标。
• 信息披露：RCE攻击可用于安装数据偷窃恶意软件，或直接执行从弱势设备中提取和删除数据的命令。
• 拒绝服务：RCE漏洞允许攻击者在托管脆弱应用程序的系统上运行代码。这可以使他们破坏系统上此应用程序或其他应用程序的操作。
• 加密：加密或加密劫持恶意软件使用折衷设备的计算资源来开采加密货币。通常利用RCE漏洞来部署和执行弱势设备上的密码恶意软件。
• 勒索软件： 勒索软件是恶意软件，旨在拒绝用户访问其文件，直到他们支付赎金来重新获得访问权限为止。RCE漏洞也可以用于在脆弱设备上部署和执行勒索软件。

尽管这些是RCE漏洞的最常见影响，但RCE漏洞可以为攻击者提供完全访问和控制折衷设备的攻击，使其成为最危险和最关键的漏洞类型之一。

缓解和检测RCE攻击

RCE攻击可以利用一系列脆弱性，因此很难通过任何一种方法来保护它们。检测和缓解RCE攻击的一些最佳实践包括：

• 输入消毒：RCE攻击通常会利用注射和避免漏洞。在应用程序中使用它之前验证用户输入有助于防止多种类型的RCE攻击。
• 安全内存管理：RCE攻击者还可以利用内存管理（例如缓冲区溢出）来利用问题。应用程序应经历漏洞扫描以检测缓冲区溢出和其他漏洞，以检测和补救这些错误。
• 交通检查：顾名思义，RCE攻击通过攻击者利用弱势代码并使用它来获得对公司系统的初始访问。组织应部署网络安全解决方案，该解决方案可以阻止对弱势应用程序的尝试开发，并可以检测攻击者对企业系统的远程控制。
• 访问控制：RCE攻击为攻击者提供了企业网络上的立足点，他们可以扩展以实现其最终目标。通过实施网络细分，访问管理和零信托安全策略，组织可以限制攻击者通过网络移动并利用其初始访问公司系统的能力。

检查点防火墙使组织能够通过注入或缓冲溢出攻击来检测和防止尝试对RCE漏洞的试图开发。将应用程序放在防火墙后面有助于大大降低其发布给组织的风险。