CISA și FBI au îndemnat companiile de software miercuri să-și revizuiască produsele și să elimine vulnerabilitățile de injecție de comandă OS înainte de a le livra.
Avertismentul a fost emis în urma atacurilor recente care au exploatat mai multe probleme de securitate de injecție de comandă OS (CVE-2024-20399, CVE-2024-3400 și CVE-2024-21887) pentru a compromite dispozitivele de rețea Cisco, Palo Alto și Ivanti.
Velvet Ant, actorul amenințării sponsorizat de statul chinez, care a coordonat aceste atacuri, a folosit malware personalizat pentru a obține persistență pe dispozitivele compromise ca parte a unei campanii de spionaj cibernetic.
Vulnerabilitățile de injecție de comandă OS apar atunci când producătorii nu reușesc să valideze și să curețe corespunzător intrările utilizatorului atunci când construiesc comenzi de executat pe OS-ul subiacent, explică avertismentul comun de astăzi.
„Proiectarea și dezvoltarea de software care se bazează pe intrările utilizatorului fără validare sau curățare corespunzătoare pot permite actorilor de amenințări să execute comenzi maligne, punând clienții în pericol,” a explicat avertismentul comun de astăzi.
CISA le recomandă dezvoltatorilor să implementeze măsuri bine cunoscute pentru a preveni vulnerabilitățile de injecție de comandă OS la scară largă în timp ce proiectează și dezvoltă produse de software:
Liderii tehnologici ar trebui să fie implicați activ în procesul de dezvoltare a software-ului. Pot face acest lucru asigurându-se că software-ul folosește funcții care generează comenzi în siguranță, păstrând în același timp sintaxa și argumentele comenziilor intenționate.
În plus, ar trebui să-și revizuiască modelele de amenințare, să folosească biblioteci moderne de componente, să efectueze revizuiri de cod și să implementeze teste riguroase de produs pentru a asigura calitatea și securitatea codului lor pe tot parcursul ciclului de dezvoltare.
Vulnerabilitățile de injecție de comandă OS au fost mult timp prevenite prin separarea clară a intrărilor utilizatorului de conținutul unei comenzi. Cu toate acestea, vulnerabilitățile de injecție de comandă OS, multe dintre acestea rezultând din CWE-78, rămân încă o clasă predominantă de vulnerabilități,” au adăugat CISA și FBI.
„CISA și FBI îndeamnă CEO-ii și alți lideri de afaceri din companiile de tehnologie să-și îndemne liderii tehnici să analizeze incidentele anterioare din această clasă de defecte și să dezvolte un plan pentru a le elimina în viitor.”
Bug-urile de securitate de injecție de comandă OS au ocupat locul cinci în topul celor 25 de vulnerabilități de software cele mai periculoase realizat de MITRE, fiind depășite doar de problemele de scriere în afara limitelor, scripting-ul între site-uri, injecția SQL și defectele de utilizare după eliberare.
În mai și martie, alte două alerte „Secure by Design” au îndemnat executivii de tehnologie și dezvoltatorii de software să elimine vulnerabilitățile de traversare a căilor și injecția SQL (SQLi).
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile de injecție SQL
CISA: Cele mai critice proiecte open source nu folosesc cod sigur din punct de vedere al memoriei
Un bug RCE în biblioteca Ghostscript folosită pe scară largă este acum exploatat în atacuri
Facilitățile chimice avertizate cu privire la posibila furt de date în urma încălcării CSAT din CISA
CISA avertizează cu privire la bug-ul Windows exploatat în atacuri de tip ransomware
Leave a Reply