Dalış Özeti:
- Siber Güvenlik ve Altyapı Güvenlik Ajansı ve FBI, yazılım satıcılarına, ürünler piyasaya sürülmeden önce işletim sistemi komut enjeksiyonu güvenlik açıklarını ortadan kaldırmaları tavsiyesinde bulundu. Ajanslar, danışmanlık Çarşamba günü, güvenli tasarım uyarı dizisinin bir parçası olarak.
- Tehdit grupları bu yıl yaygın olarak kullanılan ağ aygıtlarındaki çeşitli işletim sistemi komut enjeksiyonu güvenlik açıklarından yararlandı; bunlara şunlar dahildir: CVE-2024-20399 Cisco ürünlerinde, CVE-2024-21887 içinde İvanta uzaktan erişim VPN’leri ve CVE-2024-3400 içinde Palo Alto Ağları güvenlik duvarları.
- CISA ve FBI, duyuruda, “İşletim sistemi komut enjeksiyonu güvenlik açıkları, üreticilerin, temel işletim sisteminde yürütülecek komutları oluştururken kullanıcı girdisini düzgün bir şekilde doğrulamaması ve temizlememesi durumunda ortaya çıkar” ifadelerine yer verdi.
Dalış İçgörüsü:
Federal yetkililer, yazılım satıcılarının uygun kontroller olmadan ürün göndermesinin başka bir örneğini sergilemek için OS komut enjeksiyonu güvenlik açıklarının çözülmemiş etkisini vurguladı. Güvenliği baltalayan dahili geliştirme uygulamaları teknoloji sektöründe yaygındır ve CISA, güvenli tasarım girişimiyle bu uygulamayı sona erdirmeye çalışmaktadır.
CISA ve FBI, duyuruda, “Kullanıcı girdisine güvenen yazılımların uygun doğrulama veya temizleme olmaksızın tasarlanması ve geliştirilmesi, tehdit aktörlerinin kötü amaçlı komutlar yürütmesine ve müşterileri riske atmasına olanak tanıyabilir” ifadelerine yer verdi.
Ajanslar, teknoloji üreticilerindeki iş liderlerine, kusur sınıfının geçmişteki oluşumlarını analiz etmelerini ve gelecekte bunları ortadan kaldırmak için bir plan geliştirmelerini tavsiye etti. CISA ayrıca yazılım üreticilerini, güvenli tasarım taahhüdüHangi 162 şirket imzaladı Ajans, gönüllü tedbiri Mayıs ayında açıkladığından beri.
CISA ve paydaşları doğrudan etkilenen Ocak ayında saldırı sırasında kurumun kullandığı Ivanti uzaktan erişim VPN’lerindeki bir işletim sistemi komut enjeksiyonu açığından yararlanıldı.
CISA, saldırıyla ilgili soruşturmanın ardından veri hırsızlığı veya yanal hareketle ilgili bir kanıt bulamadığını söyledi, ancak geçen ay verilerin çalınmış olma ihtimalini göz ardı edemeyeceği konusunda uyarıldı Kurumun sistemlerine yönelik saldırı sırasında kurumun Kimyasal Güvenlik Değerlendirme Aracı’ndan.
Yıllardır CISA, yazılım endüstrisini, hafıza güvenli programlama dilleri ve çapraz site betikleme, SQL enjeksiyonu ve dizin geçiş kusurları dahil olmak üzere tüm güvenlik açığı sınıflarını ortadan kaldırın. Yine de, güvenli olmayan yazılım geliştirme uygulamaları devam ediyor.
Ajans Tasarım gereği güvenli ilkeleri ortaya çıktı Nisan 2023’te ve sürekli olarak vizyonunu paylaşıyor Üreticilerin güvenliği ürünlerine ve uygulamalarına nasıl dahil etmeleri gerektiği konusunda.
CISA’nın yerleşik yazılım geliştirme uygulamalarını değiştirme ve güvenlik sorumluluğunun yükünü müşterilerden tedarikçilere kaydırma çabaları, kurumun düzenleyici olmayan statüsünden dolayı sıkıntı yaşıyor.