隨著網上應用流行,RCE遠程代碼攻擊(Remote Code Execution)亦變成一種慣常攻擊手段
思科系統(Cisco)上月底公佈,修復了在無線防火牆型號RV110W Wireless-N VPN Firewall, 路由器RV130W 及RV215W 型號中,以網頁介面管理軟件,堵塞了遠程代碼的攻擊漏洞。這批路由器屬於中小型號,大部份會在小型企業當中應用,網路管理員應要多加留意。
公開的CVE網站中,可以在編號CVE-2019-1663中找到漏洞的詳細資料,CVE 網站已建立近18年,其中美國的Homeland security 亦有份贊助經營。CVE 主要對公眾提供軟件的安全資訊,有一套評分的系統(CVSS)去評審安全漏洞的嚴重性,由0 – 3.9 為低,4 – 6.9 為中級,7 – 10 為高危。這次思科的軟件漏洞被評為嚴重級,達9.8分之高,主要是有機會讓未受權的用戶,使用遠程攻擊手段,將惡意的代碼或軟體,在這幾款的路由器上運行,藉此入侵商戶的企業網路。
CVE形容這次的攻擊是類似Buffer Overflow,操作系統在內存之中,並未阻止不恰當的運作。一般軟件只可在指定的內存區域之中閱讀或寫上資料等,但這次的漏洞讓軟件可以在系統內存其他區域活動,讓不當攻擊發生。
根據思科系統發佈,這次的漏洞是基於在路由器網頁管理界面中,並未對用戶提供的數據作出準確的驗証。攻擊者可利用這種漏洞,將惡意HTTP 協議要求傳送到目標的路由器之中。若入侵成功的話,可讓攻擊者以管理員之類的至高級身分, 在操作系統啟動任何代碼程式。
可幸是思科路由器的網頁管理界面,默認的模式當中,並未有開啟遠程距離的管理,管理員只能在企業中的區域網內使用。若用戶並未把軟件升級,可以在管理界面中,確認遠程管理仍然關閉,去防止遠程攻擊。不過最終仍要把軟件更新,才能達到有效的安全。
隨著網絡流行,譬如網上銀行,購物或討論區等等,都會開發網上的應用,提供用戶資訊或不同的服務。而RCE遠程代碼攻擊(Remote Code Execution),亦變成一種慣常攻擊手段。OWASP公佈的年度十大網絡攻擊,code injection 之類攻擊,都會榜上有名。根據SANS研究報告,自2016年起,RCE已成為網絡應用中排名第二重要漏洞。無獨有偶,資源管理軟件Drupal 亦在上月宣告發現RCE問題,建議用戶立即更新。其實同類型軟件如WordPress,和Joomla等,亦先後發現過RCE漏洞。針對這類型的攻擊工具,亦十容易在網上找到,例如Metasploit 等,便包含了不少對WordPress,及Joomla等應用的攻擊。
至於被入侵的設備或網站,黑客會利用它們作為DDoS的彊屍工具,或下載挖礦的軟件,利用他人設備開採比特幣等等。根據保安設備公司 Imperva報告,大多數的黑客會針對RCE 的漏洞,去最賺取金錢回報。其中一項便是利用受害伺服器運算能力,變成botnet協助黑客作DDoS攻擊,再提供這種「服務」予其他黑客。近年比較流行的,便是安裝挖礦軟件,利用對方的CPU或GPU資源,幫助開發比特幣,再直接在網上銷售,以此取得最大的利潤。針對RCE攻擊,網路管理員可以使用IDP這類的防火牆設備,檢查及堵截以應用層漏動為主的攻擊。其次是留意企業中的網絡設備及軟件,經常定期更新,才是最有效的防禦對策。
作者:梁定康(Andy Leung),現任網絡工程師,負責研究IT保安及網絡設計