Remote Code Execution Vulnerability
RCE adalah serangan cyber di mana penyerang dapat mengeksekusi perintah dari jarak jauh pada perangkat komputasi orang lain. Eksekusi kode jarak jauh (RCE) biasanya terjadi karena malware berbahaya yang diunduh oleh host dan dapat terjadi terlepas dari lokasi geografis perangkat. Eksekusi Kode Jarak Jauh (RCE) juga disebut sebagai Evaluasi Kode Jarak Jauh.
RCE adalah kategori luas dari teknik serangan cyber. Ini memungkinkan aktor ancaman untuk mengeksekusi kode jarak jauh ini pada mesin target di internet, jaringan area luas (WAN), atau jaringan area lokal (LAN). Misalnya, aktor ancaman di Ukraina dapat secara diam-diam menempatkan kode berbahaya pada perangkat yang ditargetkan di Amerika Serikat. Selain itu, RCE memungkinkan aktor ancaman untuk mengontrol komputer atau server dengan menjalankan perangkat lunak berbahaya. RCE dapat, tentu saja, mengarah pada pengambilalihan total aplikasi rentan yang ditargetkan.
Eksekusi urutan serangan RCE cukup mendasar. Pertama, pelaku ancaman memindai komputer di internet untuk mencari kerentanan yang diketahui yang dapat mendukung serangan yang berhasil. Setelah kerentanan yang ditargetkan diidentifikasi, aktor ancaman kemudian melakukan eksploitasi untuk mendapatkan akses. Sekarang setelah mereka masuk, mereka dapat mengeksekusi kode berbahaya untuk mencapai tujuan mereka, termasuk mengekstrak data, mengalihkan dana, melakukan pengawasan terperinci, dan mengganggu layanan.
Kode sering disuntikkan menggunakan bahasa aplikasi yang ditargetkan. Penerjemah sisi server kemudian mengeksekusinya untuk bahasa tersebut. Bahasa biasanya termasuk Python, Java, Perl, Ruby, dan PHP. Aplikasi yang secara langsung mengevaluasi input yang tidak divalidasi biasanya rentan terhadap injeksi kode. Ini adalah kasus bahwa aplikasi web publik merupakan target utama bagi pelaku ancaman.
RCE biasanya dilakukan dengan menggunakan perintah terminal atau mungkin skrip bash. Skrip bash adalah file teks yang berisi perintah yang biasanya digunakan pada baris perintah. Skrip Bash memungkinkan perintah yang disertakan untuk berperilaku seperti biasanya. Mereka umumnya ditambahkan dengan ".sh," tetapi ini tidak diperlukan. Setelah skrip bash dikemas, aktor ancaman kemudian memuat kode ke dalam aplikasi rentan yang, pada gilirannya, mengeksekusinya. Atau, aplikasi dapat melakukan panggilan ke kernel untuk menjalankannya.
Serangan Eksekusi Pengendali Jarak Jauh WannaCry
Ada beberapa contoh serangan eksekusi remote control yang sangat terkenal. WannaCry mungkin yang paling terkenal dari vintage terbaru. Kembali pada tahun 2017, diketahui bahwa ransomware WannaCry menginfeksi ribuan komputer di seluruh dunia. WannaCry memanfaatkan RCE untuk keuntungan besar. Awalnya, aktor ancaman akan mengidentifikasi port SMB yang dapat disusupi dan menggunakan salah satu dari beberapa alat mata-mata yang diduga dikaitkan dengan National Security Agency (NSA).
Satu alat khusus, "EternalBlue," mampu, pada gilirannya, mendeteksi kerentanan dalam protokol SMB Microsoft. Protokol SMB memungkinkan aplikasi dan penggunanya untuk mengakses file di server jauh dan sumber daya lainnya. EternalBlue bernama MS17-010 oleh Microsoft. Namun, EternalBlue hanya memengaruhi sistem operasi Windows atau apa pun yang menggunakan protokol berbagi file versi 1 SMB.
Setelah pelaku ancaman berhasil mengidentifikasi kerentanan SMB, mereka akan menggunakan alat NSA lain yang diduga bernama DoublePulsar. DoublePulsar diduga merupakan alat peretas NSA yang dibocorkan secara online oleh aktor ancaman The Shadow Brokers pada tahun 2017. DoublePulsar dapat digunakan untuk menginstal ransomware WannaCry pada mesin yang disusupi yang ditargetkan.
Sebelum semua dikatakan dan dilakukan, EternalBlue dan DoublePulsar telah memungkinkan kompromi sekitar 150.000 komputer dan server. Setelah server terinfeksi, pada gilirannya, dapat menginfeksi semua mesin klien yang terhubung.
Mencegah serangan RCE
Serangan RCE menantang untuk dicegah karena rantai eksekusi untuk efek masuk dapat sangat bervariasi. Kunci untuk meminimalkan jumlah kerentanan di lingkungan Anda adalah bergerak cepat untuk menambal dan memperbarui semua perangkat lunak Anda. Sayangnya, sebagian besar penyerang mengambil daftar kerentanan yang paling baru diketahui dan dengan senang hati mengeksploitasinya, mengetahui sepenuhnya bahwa sebagian besar organisasi belum menerapkan pembaruan dan patch mitigasi yang diperlukan. Bergantian, aktor ancaman berhasil memanfaatkan kerentanan lama, yang mungkin belum ditambal, bahkan bertahun-tahun kemudian.
Banyak praktik terbaik yang terkenal saat ini. Lalu lintas jaringan harus dipantau untuk konten yang berpotensi berbahaya selain memantau titik akhir. Firewall aplikasi web (WAF) sangat efektif dalam menyediakan pertahanan ini. Namun, analisis WAF mungkin melewatkan ancaman berbahaya dan menghasilkan hasil positif palsu. Perangkat lunak pendeteksi ancaman juga penting dalam mencegah RCE. Produk seperti Snort dapat memindai lalu lintas masuk dan mendeteksi perilaku mencurigakan dan upaya penyusupan. Snort juga dapat memblokir host yang mencurigakan saat terdeteksi. Snort umumnya digunakan dalam tiga cara: sebagai sniffer paket seperti tcpdump, sebagai pencatat paket yang sering direkomendasikan untuk debugging lalu lintas jaringan, atau sebagai sistem pencegahan intrusi jaringan berfitur lengkap.
Serangan RCE juga dapat dicegah dengan menerapkan perlindungan buffer overflow. Buffer overflow menyertakan perangkat lunak di server Anda yang mendeteksi buffer overflow untuk tidak menghadirkan kerentanan yang mudah diakses. Buffer overflow mengubah organisasi data dalam bingkai tumpukan panggilan fungsi untuk menyertakan "nilai kenari". Ketika buffer overflow tumpukan menghancurkan nilai canary, ini menunjukkan bahwa buffer sebelumnya telah meluap. Peristiwa ini memungkinkan program yang terpengaruh untuk dihentikan sehingga kode berbahaya pelaku ancaman tidak membahayakannya.
Daftar kontrol akses juga penting untuk membatasi izin pengguna dan, pada gilirannya, membatasi kemampuan aktor ancaman jika mereka mengambil alih salah satu akun pengguna ini.
Terakhir, input pengguna harus disanitasi. Pertimbangkan mantra tanpa kepercayaan – input pengguna apa pun dapat berkontribusi pada serangan RCE dan harus benar-benar tidak dipercaya. Sanitasi input melibatkan pembersihan dan pembersihan input pengguna untuk mencegahnya mengeksploitasi lubang keamanan. Sanitasi input menyediakan validasi, “pembersihan”, dan pemfilteran input data dari pengguna, API, dan layanan web. Ada sekitar tiga jenis proses sanitasi yang digunakan saat ini. Mereka termasuk daftar putih (daftar yang diizinkan), daftar hitam (daftar yang dilarang), dan sanitasi yang lolos. Daftar yang diizinkan hanya mengizinkan karakter dan string kode yang valid. Daftar larangan membantu membersihkan input dengan menghilangkan karakter yang mungkin berbahaya seperti spasi ekstra, tab, tag, dan jeda baris.
#rce #remotecodeexecution #bengkulucyberteam
