CISA ve FBI, teknoloji üretim şirketlerini yazılımlarını gözden geçirmeye ve gelecekteki sürümlerin piyasaya sürülmeden önce çapraz site komut dosyası güvenlik açıklarından arınmış olmasını sağlamaya çağırdı.
İki federal kurum, XSS açıklarının bugün piyasaya sürülen yazılımlarda hâlâ mevcut olduğunu ve tehdit aktörleri için daha fazla istismar fırsatı yarattığını, ancak bunların önlenebilir olduğunu ve yazılım ürünlerinde bulunmaması gerektiğini söyledi.
Siber güvenlik kuruluşu ayrıca teknoloji üretim şirketlerinin yöneticilerini, XSS açıklarını tamamen ortadan kaldırabilecek hafifletici önlemler ve güvenli tasarım yaklaşımını uygulamak amacıyla kuruluşlarının yazılımlarını resmi olarak incelemeye çağırmaya çağırdı.
“Üreticiler girdileri doğru bir şekilde doğrulama, temizleme veya kaçırma konusunda başarısız olduklarında siteler arası betik çalıştırma güvenlik açıkları ortaya çıkar. Bu başarısızlıklar, tehdit aktörlerinin web uygulamalarına kötü amaçlı betikler enjekte etmelerine, bunları farklı bağlamlarda verileri manipüle etmek, çalmak veya kötüye kullanmak için kullanmalarına olanak tanır,” bugünün ortak uyarısında şöyle deniyor.
“Bazı geliştiriciler XSS açıklarını önlemek için girdi temizleme teknikleri kullansa da, bu yaklaşım hatasız değildir ve ek güvenlik önlemleriyle güçlendirilmelidir.”
Gelecekteki yazılım sürümlerinde bu tür güvenlik açıklarının önlenmesi için CISA ve FBI, teknik liderlere tehdit modellerini gözden geçirmelerini ve yazılımın hem yapı hem de anlam açısından girdiyi doğruladığından emin olmalarını tavsiye etti.
Ayrıca, uygun kaçış veya alıntılama için yerleşik çıktı kodlama işlevlerine sahip modern web çerçeveleri de kullanmalılar. Kod güvenliğini ve kalitesini korumak için, geliştirme yaşam döngüsü boyunca ayrıntılı kod incelemeleri ve düşmanca testler de önerilir.
MITRE’nin 2021-2022 yılları arasında yazılımları etkileyen en tehlikeli 25 yazılım zayıflığı sıralamasında XSS açıkları ikinci sırada yer aldı ve onu yalnızca sınır dışı yazma güvenliği açıkları geçti.
Bu, CISA’nın Güvenli Tasarım uyarı dizisinin yedinci uyarısıdır ve mevcut ve etkili önlemlere rağmen yazılım ürünlerinden henüz ortadan kaldırılmamış, yaygın olarak bilinen ve belgelenen güvenlik açıklarının yaygınlığını vurgulamak için tasarlanmıştır.
Bu uyarıların bazıları, tehdit aktörlerinin faaliyetlerine yanıt olarak yayınlandı. Örneğin, Temmuz ayında yazılım şirketlerinden, Çin devlet destekli Velvet Ant tehdit grubunun Cisco, Palo Alto ve Ivanti ağ uç cihazlarını hacklemek için yaptığı son saldırılarda kullandığı path OS komut enjeksiyonu güvenlik açıklarını ortadan kaldırmalarını isteyen bir uyarı yayınlandı.
Mayıs ve Mart aylarında yayınlanan iki “Tasarıma Göre Güvenli” uyarısı, yazılım geliştiricilerini ve teknoloji yöneticilerini yol geçişi ve SQL enjeksiyonu (SQLi) güvenlik açıklarını önlemeye çağırdı.
CISA ayrıca küçük ofis/ev ofisi (SOHO) yönlendirici üreticilerini, cihazlarını Volt Typhoon saldırılarına karşı güvence altına almaya, teknoloji satıcılarını ise varsayılan parolalarla yazılım ve cihaz göndermeyi durdurmaya çağırdı.