CISA ve FBI, Çarşamba günü yazılım şirketlerini ürünlerini gözden geçirmeye ve sevkiyattan önce Path OS komut enjeksiyonu güvenlik açıklarını ortadan kaldırmaya çağırdı.
Bu duyuru, Cisco, Palo Alto ve Ivanti ağ uç cihazlarını tehlikeye atmak için birden fazla işletim sistemi komut enjeksiyonu güvenlik açığından (CVE-2024-20399, CVE-2024-3400 ve CVE-2024-21887) yararlanan son saldırılara yanıt olarak yayınlandı.
Bu saldırıları koordine eden Çin devlet destekli tehdit aktörü Velvet Ant, siber casusluk kampanyasının bir parçası olarak saldırıya uğrayan cihazlarda kalıcılık kazanmak için özel kötü amaçlı yazılımlar kullandı.
Bugünkü ortak duyuruda, “İşletim sistemi komut enjeksiyonu güvenlik açıkları, üreticilerin, altta yatan işletim sisteminde yürütülecek komutları oluştururken kullanıcı girdisini düzgün bir şekilde doğrulamaması ve temizlememesi nedeniyle ortaya çıkıyor” ifadesi yer alıyor.
“Kullanıcı girdisine güvenen yazılımların uygun doğrulama veya temizleme olmadan tasarlanması ve geliştirilmesi, tehdit aktörlerinin kötü amaçlı komutlar yürütmesine ve müşterileri riske atmasına olanak tanıyabilir.”
CISA, geliştiricilere yazılım ürünleri tasarlarken ve geliştirirken işletim sistemi komut enjeksiyonu açıklarını büyük ölçekte önlemek için bilinen hafifletme yöntemlerini uygulamalarını öneriyor:
- Genel amaçlı bir sistem komutuna beslenen ham dizeler oluşturmak yerine, mümkün olduğunda komutları argümanlarından ayıran yerleşik kitaplık işlevlerini kullanın.
- Verileri komutlardan ayrı tutmak için giriş parametrelendirmesini kullanın; kullanıcı tarafından sağlanan tüm girdileri doğrulayın ve temizleyin.
- Kullanıcı girdisiyle oluşturulan komutların bölümlerini yalnızca gerekli olanlarla sınırlayın.
Teknoloji liderleri yazılım geliştirme sürecine aktif olarak dahil olmalıdır. Bunu, yazılımın komutların amaçlanan sözdizimini ve argümanlarını korurken komutları güvenli bir şekilde üreten işlevleri kullanmasını sağlayarak yapabilirler.
Ayrıca, geliştirme yaşam döngüsü boyunca kodlarının kalitesini ve güvenliğini sağlamak için tehdit modellerini gözden geçirmeli, modern bileşen kütüphanelerini kullanmalı, kod incelemeleri yapmalı ve titiz ürün testleri uygulamalıdırlar.
“İşletim sistemi komut enjeksiyonu güvenlik açıkları, kullanıcı girdisini bir komutun içeriğinden açıkça ayırarak uzun zamandır önlenebilir. Bu bulguya rağmen, çoğu CWE-78’den kaynaklanan işletim sistemi komut enjeksiyonu güvenlik açıkları hala yaygın bir güvenlik açığı sınıfıdır,” diye ekledi CISA ve FBI.
“CISA ve FBI, teknoloji üreticilerindeki CEO’lara ve diğer iş liderlerine, teknik liderlerinden bu tür kusurların geçmişteki oluşumlarını analiz etmelerini ve gelecekte bunları ortadan kaldırmak için bir plan geliştirmelerini talep etmelerini talep ediyor.”
MITRE’nin en tehlikeli 25 yazılım zayıflığı listesinde işletim sistemi komut enjeksiyonu güvenlik hataları beşinci sıraya yerleşirken, bunu yalnızca sınır dışı yazma, siteler arası betik çalıştırma, SQL enjeksiyonu ve kullanımdan sonra serbest bırakma hataları takip ediyor.
Mayıs ve Mart aylarında yayınlanan iki “Tasarıma Göre Güvenli” uyarısı, teknoloji yöneticilerini ve yazılım geliştiricilerini yol geçişi ve SQL enjeksiyonu (SQLi) güvenlik açıklarını temizlemeye çağırdı.