RCE - Remote code execution

Критическая уязвимость кода сайта. Максимальный уровень угрозы.

RCE - Remote code execution - удаленное выполнение кода на сервере

RCE (Remote code execution) является максимальной угрозой класса А1 по классификации OWASP


RCE - Remote code execution - это гарантированный способ взлома сайтов и веб приложений.

RCE - является одной из самых опасных уязвимостей.
Возможность удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса.
С помощью RCE злоумышленник сразу получает доступ к серверу атакуемого сайта, размещая на нем веб-шеллы, или любой другой вредоносный код.

В нашей практике встречались случаи, когда RCE эксплуатировали боевые скрипты, размещенные на хакерских серверах, которые отслеживали наличие вредоносной составляющей, вирусов шеллов и т.п. на сайте.
Когда программисты сайта пытались удалить вредоносные скрипты с своих сайтов, они появлялись заново, в течении секунд!
Фактически программисты атакуемых сайтов не успевали "отпустить клавишу" DELETE, как заражение сайта повторялось в удвоенном размере.
Обычным удалением вирусов троянов и шеллов в таком случае не обойтись. Первоначально нужно найти и устранить уязвимость в коде, позволяющую эксплуатировать RCE (Remote code execution).

Из нашей практики

Поступило обращение от одной организации с следующими проблемами:

1. Резко возросшая нагрузка на сервер, угрозы от хостера отключить сайт, из-за критической нагрузки на ЦП сервера.
2. На сайте кем-то создается форум (черная SEO) в десятки тысяч постов, рекламирующий сомнительные услуги, код которого обнаружить не удается.
То есть сам форум присутствует, индексируется поисковыми системами, в т.ч. Яндексом, а кода форума на сервере нет.

В процессе проведения аудита безопасности сайта, нашими специалистами была обнаружена уязвимость в коде сайта, позволяющая эксплуатировать RCE. С помощью RCE злоумышленники запускали свой хакерский форум (черная SEO) на атакуемом сайте, тем самым увеличивая нагрузку на сервер. Кроме этого поисковые системы оказались "заспамлены" сообщениями с этого форума, предложениями сомнительных услуг и товаров, что привело к репутационным и имиджевым, и соответственно финансовым потерям компании.

По результатам аудита безопасности сайта, были выявлены и устранены все уязвимости исследуемого сайта.
Проблемы с хакерскими атаками и взломами сайта для этой компании закончились.

Возможность эксплуатации RCE возникает из за грубейших ошибок разработки сайта, отсутствия фильтрации передающих параметров, использование небезопасных функций и приемов программирования.

Пример уязвимого PHP скрипта:

Файл vuln.php
<?
eval($_GET['code']);
?>

Вызов скрипта:
http://vulnserver.com/
vuln.php?code=phpinfo();

Результат:
Выполнение PHP кода, а именно команды phpinfo();

Уязвимость RCE (Remote code execution) на сайте - это максимальная угроза для его безопасности.


Защита от RCE (удаленное выполнение кода на сервере)

Фильтрация параметров, передающих данные в eval(); assert(); и т.д.
Проверка валидности запросов а также данных в передающих параметрах .



Сканер уязвимостей сайтов онлайн Проверьте, наколько устойчив к взлому Ваш сайт