In 2025 werden er meer dan 48.000 cyber kwetsbaarheden gepubliceerd, wat neerkomt op een stijging van meer dan 20% ten opzichte van 2024. Van al deze kwetsbaarheden werd meer dan een derde geclassificeerd werd als ‘high’ of ‘critical’. Voor organisaties is het belangrijk om deze kwetsbaarheden actief te patchen of op een andere manier te verhelpen middels een proactief vulnerability management plan. Voor securityteams die vaak al overbelast zijn, is dit echter vaak niet eenvoudig te realiseren. Veel IT- en securityteams zijn bij gebrek aan tijd om zo’n plan uit te voeren vooral bezig om prioriteiten te stellen op basis van risico’s en bedrijfsdoelstellingen. Het type kwetsbaarheid dat hierbij absolute prioriteit moet krijgen is Remote Code Execution (RCE): het op afstand draaien van schadelijke code op de systemen en netwerken van organisaties, zonder dat daarvoor actie van gebruikers nodig is.
In 2024 bestond de helft van de top-10 kwetsbaarheden uit RCE’s, volgens onderzoekers van Arctic Wolf Threat Intelligence. Nu organisaties naar de cloud blijven migreren en hybride werkmodellen de norm blijven, is de kans groot dat dit soort kwetsbaarheden vaker zullen opduiken en bovendien ernstiger zullen worden.
Wat is Remote Code Execution?
Remote Code Execution wordt vaak rechtstreeks vanaf het internet gestart en geeft een aanvaller de mogelijkheid om controle te krijgen over een proces of device. Een aanvaller kan bij RCE op afstand zijn eigen code uitvoeren, zonder dat hij zich in dezelfde fysieke ruimte als het systeem of device hoeft te bevinden. Hiermee onderscheidt RCE zich van een ‘arbitrary code execution’ (ACE), die wordt gestart vanuit het lokale netwerk (LAN) van een systeem. Door middel van RCE kan een aanvaller code van buiten het systeem uitvoeren en vervolgens een interne ACE activeren.
Zodra een aanvaller met succes misbruik maakt van een RCE-kwetsbaarheid, kan hij mogelijk de volledige controle over een systeem van zijn doelwit overnemen. Daarna kan hij bijvoorbeeld gevoelige data stelen, activiteiten verstoren of verdere aanvallen uitvoeren.
De belangrijkste vormen van Remote Code Execution
RCE-kwetsbaarheden zijn populair onder aanvallers omdat het hen toegang geeft tot een netwerk zonder dat ze bijvoorbeeld eerst een social engineering-aanval hoeven uit te voeren om logingegevens met de nodige rechten te bemachtigen. Er zijn verschillende manieren waarop een aanvaller op afstand code kan uitvoeren, waaronder:
- Injectie: een injection-exploit voert schadelijke database opdrachten uit om controle te krijgen over een databaseserver die een webapplicatie aanstuurt. Bij een SQL-injectie injecteert de aanvaller bijvoorbeeld schadelijke data die het systeem interpreteert als een commando. Zo kan hij de authenticatie en autorisatie van de applicatie omzeilen en vervolgens data uit de hele SQL-database wegsluizen. Deze technieken kan ook worden gebruikt om data aan de database toe te voegen, te wijzigen of te verwijderen.
- Deserialisatie: serialisatie is het omzetten van een object, zoals een file folder, naar een formaat dat kan worden bewaard, opgeslagen en verzonden. Dit is vergelijkbaar met de manier waarop je met een .zip-bestand een map met meerdere bestanden als één geheel kan verzenden. Deserialisatie is dan het proces waarbij die omzetting ongedaan wordt gemaakt, zodat het object kan worden gelezen en/of uitgevoerd. Als het gedeserialieerde object echter dan om wat voor reden dan ook niet versleuteld is, kunnen aanvallers het wijzigen met schadelijke code, wat leidt tot niet-geauthentiseerde RCE.
- Out-of-Bounds Write: bij deze exploit misbruikt een aanvaller een fout in de manier waarop de software geheugen toewijst. Daardoor kan hij data buiten de grenzen van een buffer plaatsen. Zo’n buffer is een tijdelijke opslagplek die wordt gebruikt terwijl data worden verwerkt of doorgestuurd. Dit kan er uiteindelijk toe leiden dat de aanvaller willekeurige code op het systeem kan uitvoeren.
- Onjuiste invoervalidatie: wanneer softwareapplicaties de invoer van gebruikers niet goed controleren/valideren, kunnen aanvallers een bestand met schadelijke code uploaden. Dit wordt vervolgens door de applicatie uitgevoerd in de veronderstelling dat de code legitiem.
Het is belangrijk om te weten dat RCE mogelijk is in elke software of toepassing en niet wordt beperkt door programmeertalen of besturingssystemen. Dit is nog een reden waarom RCE-exploits de afgelopen jaren zo sterk zijn toegenomen.
Maatregelen om risico’s Remote Code Execution te beperken
Een van de beste manieren om RCE te voorkomen, is door tijdig software-updates en patches te installeren. Wanneer er kwetsbaarheden worden ontdekt in software of een applicatie, brengen de bedrijven achter deze software of applicaties vaak snel updates of patches uit. Door op de hoogte te blijven van deze updates en patches en deze vervolgens ook snel te installeren, kan het risico op RCE worden verkleind.
Een andere effectieve, meer proactieve methode om RCE te voorkomen, is door gebruik te maken van een vulnerability management plan. Veel ontdekte CVE’s die als ‘kritiek’ zijn geclassificeerd, leiden tot RCE. Het is dus belangrijk om de omgeving van de organisatie te scannen op kwetsbaarheden en om een patchschema bij te houden. Omdat elke organisatie andere security- en bedrijfsbehoeften heeft en die in de loop van de tijd kunnen veranderen, moet vulnerability management niet gericht zijn op het wegnemen van elke mogelijke kwetsbaarheid. Het doel is een risicogebaseerde aanpak die prioriteert wat het meeste impact heeft en het risico structureel verlaagt.
De realiteit is dat organisaties niet elke kwetsbaarheid die zich voordoet kunnen patchen. Het hebben van een regelmatig patchproces en het proactief werken aan vulnerability management kan echter een groot verschil maken in de cybersecurityarchitectuur en het risico op een inbreuk verminderen.
Samenwerken met een securitybedrijf
Veel IT- en securityteams hebben een klein budget en niet genoeg securityprofessionals. Het is voor veel organisaties daarom lastig om hun omgeving 24/7 te monitoren en snel dreigingen te detecteren en hierop te reageren. Om hier bovenop nog proactief kwetsbaarheid- en risico beheer toe te voegen, is voor deze organisaties vaak onhaalbaar.
In dat geval kan samenwerking met een securityleverancier waardevol zijn om te bepalen wat de grootste risico’s voor de organisatie zijn en hoeveel risico’s de organisatie is bereid te nemen. Maar bovenal kan een securitypartner helpen bij het patchen en beperken van de kwetsbaarheden die de grootste risico’s opleveren voor de organisatie.
Dit is een ingezonden bijdrage van Arctic Wolf. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.