RCE (Remote Code Execution)

Remote Code Execution (RCE) bezeichnet eine Schwachstelle, bei der ein Angreifer über das Netzwerk oder über ungeprüfte Eingaben beliebigen Code auf einem Zielsystem ausführen kann. RCE zählt zu den schwerwiegendsten Bug-Klassen überhaupt, weil ein erfolgreicher Angriff in der Regel die volle Kontrolle über den betroffenen Prozess bedeutet.

Wie RCE entsteht

Die meisten RCEs fallen in eine von drei Kategorien.

Befehlsinjektion: Nutzereingaben werden direkt an eine Shell weitergereicht. Ein Input wie file.txt; rm -rf / hängt einen zweiten Befehl an.

Deserialisierungs-Lücken: Serialisierte Objekte aus untrusted Quellen werden rekonstruiert und führen beim Aufbau eigenen Code aus. Klassisch bei Java, .NET, Pickle in Python.

Architektur-Fehler in Frameworks: Wenn ein Framework von sich aus Nutzerinput ausführt, ohne dazwischen eine Validierungs-Schicht zu ziehen. Log4Shell 2021 war so ein Fall, die MCP-Schwachstelle von 2026 ist ein weiterer.

Was RCE bedeutet

Gelingt ein RCE-Angriff, kann der Angreifer in der Regel:

• Dateien lesen, schreiben, löschen
• Weitere Programme starten
• Lateral Movement betreiben, also sich im Netz weiterbewegen
• Secrets, Tokens und Zugangsdaten abgreifen
• Die Maschine für weitere Angriffe als Sprungbrett nutzen

Im CVSS-Scoring bekommen RCEs fast immer "Critical"-Einstufungen (9.0 oder höher), weil der Impact maximal ist.

Gegenmaßnahmen

• Input-Validierung: Nutzereingaben niemals direkt an Shell, Interpreter oder Deserialisierung weitergeben.
• Allowlists statt Blocklists: Nur definierte Werte oder Muster erlauben, alles andere ablehnen.
• Least Privilege: Dienste mit minimalen Rechten betreiben. Selbst bei erfolgreichem RCE sollte der Schaden begrenzt bleiben.
• Sandboxing: Prozesse in Container, MicroVMs oder chroot-Umgebungen einsperren.
• Dependency-Scanning: Bekannte RCE-Lücken in Bibliotheken proaktiv finden und patchen.