blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
info vuln-class-rce

Remote Code Execution (RCE), verständlich erklärt

RCE ist das Worst-Case-Resultat eines Software-Bugs. Ein Angreifer im Netz führt eigene Befehle auf Ihrem Server aus. Was RCE ermöglicht, was Angreifer tatsächlich tun, sobald sie drin sind, und warum Patches keine Zeit haben.

Worum es geht

Remote Code Execution, kurz RCE, ist der Branchenbegriff für “ein Angreifer im Netz kann eigene Befehle auf Ihrem Server ausführen”. Die schlimmste Bug-Kategorie, die ein Server haben kann. Hat der Angreifer einmal RCE, sind alle anderen Sicherheitskontrollen auf der Maschine (Firewall, Account-Verwaltung, Verschlüsselung) für die Daten dieser Maschine irrelevant.

In Schweregraden erreicht eine unauthentifizierte Remote-RCE fast immer 9,8 oder 10,0 von 10.

Was Angreifer wirklich tun, sobald sie drin sind

Öffentliche Berichte aus der Incident Response zeichnen ein deutlich differenzierteres Bild als die alte Vorstellung vom schnellen, lauten Diebstahl. Moderne Angreifer verhalten sich sehr unterschiedlich, je nach Ziel.

Cryptominer sind die schnellste, lauteste Variante. Sie landen auf Ihrem Server, installieren einen Coin-Miner und lassen ihn laufen, bis jemand die CPU-Last bemerkt. Lästig, aber überschaubar.

Ransomware-Operatoren sind geduldig. Der Mandiant-M-Trends-Report gibt eine mediane Verweildauer von mehreren Tagen bis Wochen vor Ransomware-Auslösung an. Die Zeit nutzen sie, um das Netz zu kartieren, Backups zu finden und unbrauchbar zu machen, und sensible Daten zu exfiltrieren bevor sie verschlüsseln. Die exfiltrierten Daten sind der Hebel im “Double-Extortion”-Modell: Lösegeld zahlen oder wir veröffentlichen Ihre Kundendatenbank.

Initial-Access-Broker verdienen am Weiterverkauf von Zugängen. Sie landen auf Ihrem Server, halten sich bewusst still (kein auffälliger Miner, keine offensichtlichen Änderungen) und stellen Ihren Zugang in einschlägigen Foren zum Verkauf. Wer ihn als nächstes kauft, kann ein Ransomware-Operator sein, eine staatsnahe Gruppe oder eine Phishing-Crew. Direkte Auswirkungen sehen Sie unter Umständen monatelang nicht.

Spionage-Akteure sind am geduldigsten. Staatsnahe Gruppen halten kompromittierte Infrastruktur regelmäßig über Monate oder Jahre, exfiltrieren Dokumente, beobachten E-Mail und lesen interne Kommunikation mit. Die MOVEit-, SolarWinds- und 3CX-Kampagnen der letzten Jahre sind die öffentlichen Beispiele. Die durchschnittlich entdeckte Verweildauer ist dank besserer Detection gefallen (Mandiant nennt für 2024 einen globalen Median um 10 Tage, gegenüber über 200 in 2014), aber unentdeckte Kampagnen tauchen in diesen Statistiken naturgemäß nicht auf.

Phishing- und BEC-Operatoren nutzen Ihre kompromittierte Infrastruktur als Startrampe. Ein Server, der die E-Mail-Authentifizierung Ihrer Domain bereits besteht, ist viel wertvoller als ein frischer Server, den sie erst aufwärmen müssten. Sie verschicken Rechnungsbetrug- und CEO-Fraud-Mails aus Ihrer echten Domain, mit Ihren echten Signaturen, an Ihre echten Kund:innen und Lieferanten. Erkennen ist schwer, weil die Mails tatsächlich von Ihnen kommen.

Supply-Chain-Operatoren (die seltenste und schädlichste Kategorie) verändern Ihre Build-Pipeline und schleusen ihren Code in das ein, was Ihre Kund:innen von Ihnen herunterladen. CCleaner 2017, Codecov 2021, 3CX 2023.

Der gemeinsame Nenner: die meisten modernen Angreifer machen keinen Lärm. Sie sitzen, beobachten, bereiten vor und handeln nach ihrem eigenen Plan. Wenn das Verhalten endlich sichtbar wird, hat der Angreifer in der Regel schon Wochen Zugriff gehabt.

Was eine RCE ermöglicht

Mehrere übliche Wege führen zu RCE. CVE-Beschreibungen im Scan-Bericht nennen meist einen davon.

  • Speicher-Bugs in Software, die in C oder C++ geschrieben ist (Buffer Overflow, Use-after-free). Sie erlauben dem Angreifer, den Programm-Speicher zu überschreiben und auf eigene Bytes umzulenken.
  • Command Injection, bei der die Anwendung eine Eingabe aus einem Request nimmt und ungeprüft an die Shell des Betriebssystems weitergibt. Klassisch in alten Admin-Panels und CGI-Skripten.
  • Unsichere Deserialisierung, bei der die Anwendung einen strukturierten Datenblob aus dem Netz liest und die Art, wie sie ihn interpretiert, dem Angreifer wählen lässt, welche Code-Pfade laufen. Siehe unseren Deserialisierungs-Artikel.
  • Template-Injection, bei der serverseitige Template-Engines (Jinja, Twig, Velocity) unsichere Eingaben auswerten und den Angreifer Schleifen und Methodenaufrufe in die Antwort schreiben lassen.
  • Unrestriktierter Datei-Upload plus fehlkonfigurierter Server, bei dem der Angreifer eine .php- oder .aspx-Datei in ein Verzeichnis hochlädt, das der Webserver interpretiert, und sie anschließend aufruft.

Was zu tun ist

Meldet der Scanner eine RCE-Klasse-CVE auf einem Ihrer Dienste, ist die Reihenfolge unabhängig von der Unterart immer gleich.

  1. So schnell wie möglich patchen, wenn nötig außer der Reihe. RCEs in Internet-Diensten warten nicht auf das nächste Wartungsfenster. CISA gibt US-Bundesbehörden über den Known Exploited Vulnerabilities Catalog typischerweise zwei bis drei Wochen. Eine Frist für Organisationen mit formalen Change-Prozessen. Ein KMU sollte das in Tagen erledigen.
  2. Wenn ein Patch noch nicht möglich ist, den betroffenen Dienst aus dem Netz nehmen. Hinter VPN stellen, auf bestimmte Quell-IPs beschränken oder bis zum Patch abschalten. Was nicht erreichbar ist, kann nicht ausgenutzt werden.
  3. Liegen Hinweise auf eine bereits erfolgte Ausnutzung vor, den Host als kompromittiert behandeln. Nicht versuchen, ihn aufzuräumen. Stattdessen aus einem sauberen Image neu aufsetzen und jeden Credential rotieren, den der Host berührt haben könnte. Hatte ein Angreifer einmal RCE, lässt sich nicht mehr verlässlich sicherstellen, dass keine versteckte Hintertür mehr da ist. Bei der Geduld moderner Angreifer ist “wir haben am nächsten Tag gepatcht” keine Verteidigung gegen jemanden, der schon mehrere Stunden Zugriff hatte.

Für Fälle, in denen eine Ausnutzung plausibel ist (länger existierende KEV-CVEs, Scans mit unbekannten Veränderungen), lohnt eine Incident-Response-Engagement. Forensische Analyse von Memory- und Disk-Images findet die Implants, die Angreifer hinterlassen.

Schwere im Scan lesen

Bei RCE-Klasse-Befunden zeigt der Scanner drei Signale für die Priorisierung. Das ganze Framework finden Sie in Wie man eine CVE liest. Die Kurzversion:

  • CVSS 9–10, ohne Account, übers Netz erreichbar: Feueralarm.
  • CVSS 7–9, mit Account oder ungewöhnlichen Bedingungen: diese Woche patchen.
  • EPSS > 0,5 oder KEV-Flag: wird gerade ausgenutzt. Vor allem anderen patchen, auch vor höheren CVSS-Werten ohne KEV.

Mehr dazu