CISA și FBI au îndemnat companiile de producție de tehnologie să-și revizuiască software-ul și să se asigure că viitoarele versiuni sunt lipsite de vulnerabilități de tip cross-site scripting înainte de a fi livrate.
Cele două agenții federale au declarat că vulnerabilitățile XSS încă afectează software-ul lansat astăzi, creând oportunități suplimentare de exploatare pentru actorii de amenințare, chiar dacă acestea ar trebui să fie prevenite și să nu fie prezente în produsele software.
Agenția de securitate cibernetică a îndemnat, de asemenea, executivii companiilor de producție de tehnologie să impună revizuiri formale ale software-ului organizațiilor lor pentru a implementa măsuri de atenuare și o abordare securizată prin design care ar putea elimina complet defectele XSS.
„Vulnerabilitățile de cross-site scripting apar atunci când producătorii nu reușesc să valideze corespunzător, să igienizeze sau să scape de intrările. Aceste eșecuri permit actorilor de amenințare să injecteze scripturi maligne în aplicațiile web, exploatându-le pentru a manipula, a fura sau a utiliza în mod abuziv date în diferite contexte,” citim în alerta comună de astăzi.
„Deși unii dezvoltatori folosesc tehnici de igienizare a intrărilor pentru a preveni vulnerabilitățile XSS, această abordare nu este infailibilă și ar trebui să fie întărită cu măsuri suplimentare de securitate.”
Pentru a preveni astfel de vulnerabilități în viitoarele lansări de software, CISA și FBI au sfătuit liderii tehnici să revizuiască modelele de amenințare și să se asigure că software-ul validează intrările atât pentru structură, cât și pentru semnificație.
De asemenea, aceștia ar trebui să folosească cadre web moderne cu funcții încorporate de codificare a ieșirii pentru igienizarea sau cotarea corespunzătoare. Pentru a menține securitatea și calitatea codului, se recomandă, de asemenea, revizuiri detaliate ale codului și teste adversariale pe tot parcursul ciclului de dezvoltare.
Vulnerabilitățile XSS au ocupat locul doi în topul celor 25 de slăbiciuni software cele mai periculoase potrivit MITRE, care afectează software-ul între 2021 și 2022, fiind depășite doar de defectele de securitate out-of-bounds write.
Aceasta este a șaptea alertă din seria de avertizări Secure by Design a CISA, concepută pentru a evidenția prevalența vulnerabilităților larg cunoscute și documentate care nu au fost încă eliminate din produsele software în ciuda măsurilor de atenuare disponibile și eficiente.
Câteva dintre aceste avertizări au fost emise ca răspuns la activitatea actorilor de amenințare, precum o alertă care a cerut companiilor de software în iulie să elimine vulnerabilitățile de injectare a comenzilor OS de tip path exploatate de grupul de amenințări Velvet Ant sponsorizat de statul chinez în atacuri recente pentru a sparge dispozitivele de rețea Cisco, Palo Alto și Ivanti.
În mai și martie, alte două alerte „Secure by Design” au îndemnat dezvoltatorii de software și executivii din domeniul tehnologiei să prevină traversarea căilor și vulnerabilitățile de securitate de injectare SQL (SQLi).
CISA a mai îndemnat producătorii de routere pentru birouri mici/acasă (SOHO) să-și securizeze dispozitivele împotriva atacurilor Volt Typhoon și vendorii de tehnologie să înceteze să livreze software și dispozitive cu parole implicite.
CISA îndeamnă producătorii de tehnologie să înceteze să folosească parole implicite
CISA: Vendorii trebuie să-și securizeze routerele SOHO împotriva atacurilor Volt Typhoon
FBI îi spune publicului să ignore afirmațiile false privind datele electorale sparte
FBI avertizează firmele de criptomonede cu privire la atacurile agresive de inginerie socială
FBI: RansomHub ransomware a afectat 210 victime începând din februarie
Leave a Reply