Rce
RCE - Remote code execution - удаленное выполнение кода на сервере
RCE (Remote code execution) является максимальной угрозой класса А1 по классификации OWASP
RCE - Remote code execution - это гарантированный способ взлома сайтов и веб приложений.
RCE - является одной из самых опасных уязвимостей.
Возможность удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса.
С помощью RCE злоумышленник сразу получает доступ к серверу атакуемого сайта, размещая на нем веб-шеллы, или любой другой вредоносный код.
В нашей практике встречались случаи, когда RCE эксплуатировали боевые скрипты, размещенные на хакерских серверах, которые отслеживали наличие вредоносной составляющей, вирусов шеллов и т.п. на сайте.
Когда программисты сайта пытались удалить вредоносные скрипты с своих сайтов, они появлялись заново, в течении секунд!
Фактически программисты атакуемых сайтов не успевали "отпустить клавишу" DELETE, как заражение сайта повторялось в удвоенном размере.
Обычным удалением вирусов троянов и шеллов в таком случае не обойтись. Первоначально нужно найти и устранить уязвимость в коде, позволяющую эксплуатировать RCE (Remote code execution).
Из нашей практики
Поступило обращение от одной организации с следующими проблемами:
1. Резко возросшая нагрузка на сервер, угрозы от хостера отключить сайт, из-за критической нагрузки на ЦП сервера.
2. На сайте кем-то создается форум (черная SEO) в десятки тысяч постов, рекламирующий сомнительные услуги, код которого обнаружить не удается.
То есть сам форум присутствует, индексируется поисковыми системами, в т.ч. Яндексом, а кода форума на сервере нет.
В процессе проведения аудита безопасности сайта, нашими специалистами была обнаружена уязвимость в коде сайта, позволяющая эксплуатировать RCE. С помощью RCE злоумышленники запускали свой хакерский форум (черная SEO) на атакуемом сайте, тем самым увеличивая нагрузку на сервер. Кроме этого поисковые системы оказались "заспамлены" сообщениями с этого форума, предложениями сомнительных услуг и товаров, что привело к репутационным и имиджевым, и соответственно финансовым потерям компании.
По результатам аудита безопасности сайта, были выявлены и устранены все уязвимости исследуемого сайта.
Проблемы с хакерскими атаками и взломами сайта для этой компании закончились.
Возможность эксплуатации RCE возникает из за грубейших ошибок разработки сайта, отсутствия фильтрации передающих параметров, использование небезопасных функций и приемов программирования.
Пример уязвимого PHP скрипта:
Файл vuln.php
<?
eval($_GET['code']);
?>
Вызов скрипта:
http://vulnserver.com/vuln.php?code=phpinfo();
Результат:
Выполнение PHP кода, а именно команды phpinfo();
Уязвимость RCE (Remote code execution) на сайте - это максимальная угроза для его безопасности.
Защита от RCE (удаленное выполнение кода на сервере)
Фильтрация параметров, передающих данные в eval(); assert(); и т.д.
Проверка валидности запросов а также данных в передающих параметрах .