Agencija za sajber i infrastrukturnu sigurnost (CISA) i Federalni istražni biro (FBI) podigli su uzbunu zbog hakera koji iskorištavaju ranjivosti injection komande OS-a.
Upozorenje dolazi kao odgovor na nedavne kampanje hakera koje su uspješno ciljale i narušile uređaje na rubu mreže, iskorištavajući ove ranjivosti.
Šta je ranjivost OS Command Injection?
Ranjivosti injection komandi OS-a nastaju kada softver ne uspije pravilno provjeriti ispravnost i dezinficirati korisnički unos prije nego što konstruiše komande za izvršavanje na osnovnom operativnom sistemu.
Ovaj nadzor omogućava zlonamjernim hakerima da izvršavaju neovlaštene komande, što potencijalno može dovesti do ozbiljnih posljedica kao što su kršenje podataka, narušavanje sistema i neovlašteni pristup.
Uprkos tome što je dobro poznata klasa ranjivosti koja se može spriječiti , problemi sa injection komandi OS-a i dalje se pojavljuju.
Nedavno upozorenje ističe tri specifične ranjivosti:
- CVE-2024-20399
- CVE-2024-3400
- CVE-2024-21887
Ove ranjivosti su omogućile neautorizovanim napadačima da daljinski izvrše kod na uređajima na rubu mreže, demonstrirajući kritičnu potrebu za teškim sigurnosnim mjerama.
Sigurno dizajnom: proaktivni pristup
CISA i FBI naglašavaju usvajanje „sigurnog po dizajnu“ pristupa razvoju softvera.
Ova metodologija uključuje sigurnosne mjere od samog početka, počevši od faze dizajna i nastavljajući kroz razvoj, izdavanje i ažuriranje.
Na taj način proizvođači softvera mogu značajno smanjiti rizik od ranjivosti i zaštititi svoje kupce od potencijalnih eksploatacija.
Ključne preporuke za proizvođače softvera:
- Koristite sigurne funkcije: Osigurajte da softver koristi funkcije koje generišu komande na sigurnije načine, čuvajući predviđenu sintaksu naredbe i njene argumente.
- Pregledajte modele prijetnji: Redovno pregledajte i ažurirajte modele prijetnji kako biste identifikovali i ublažili potencijalne rizike.
- Koristite moderne biblioteke: koristite moderne biblioteke komponenti dizajnirane sa sigurnošću na umu.
- Provedite preglede koda: Sprovedite detaljne preglede koda kako biste identifikovali i riješili potencijalne ranjivosti.
- Agresivno testiranje: Sprovedite agresivno suprotstavljeno testiranje proizvoda kako biste osigurali kvalitet i sigurnost koda tokom životnog ciklusa razvoja.
Proizvodi koji su bezbjedni po dizajnu bolje su opremljeni za zaštitu od zlonamjernih sajber hakera. Uključivanje sigurnosnih mjera od samog početka smanjuje opterećenje kupaca i minimizira javni rizik .
Ranjivosti injection naredbi OS-a, koje često proizlaze iz CWE-78, mogu se spriječiti jasnim odvajanjem korisničkog unosa od sadržaja komande.
CISA je dodala ranjivosti pomenute ranije u Katalog poznatih eksploatisanih ranjivosti (KEV), koji dokumentuje ranjivosti iskorišćene u divljini.
Ovaj katalog je vrijedan resurs za organizacije da ostanu informisane o trenutnim prijetnjama i poduzmu potrebne mjere opreza.
Sprečavanje ranjivosti ubrizgavanja OS komandi
Da bi spriječili ranjivosti ubrizgavanja OS komandi, programeri bi trebali poduzeti nekoliko proaktivnih koraka tokom dizajna i razvoja softverskih proizvoda:
- Koristite ugrađene bibliotečke funkcije: koristite ugrađene funkcije biblioteke koje odvajaju komande od njihovih argumenata umjesto konstruisanja neobrađenih stringova kad god je to moguće.
- Parametarizacija ulaza: Držite podatke odvojeno od naredbi korištenjem parametrizacije ulaza i provjerom ispravnosti svih unosa koje je dostavio korisnik.
- Ograničite unos korisnika: Ograničite dijelove naredbi koje je konstruisao korisnički unos samo na ono što je neophodno.
- Sanitize Input: Sanitizirajte korisnički unos prije pozivanja naredbi, osiguravajući da zlonamjerni ulazi ne mogu ugroziti sistem.
Sigurno po principima dizajna
CISA i FBI ohrabruju proizvođače da usvoje tri temeljna principa kako bi zaštitili svoje proizvode od eksploatacije OS naredbe:
- Preuzmite vlasništvo nad ishodima sigurnosti kupaca: Proizvođači bi trebali eliminisati ranjivosti ubrizgavanja OS komandi iz svojih proizvoda i osigurati sigurne građevne blokove za programere.
- Prihvatite radikalnu transparentnost i odgovornost: Vodite transparentno kada otkrivate ranjivosti proizvoda i osigurajte tačna CVE i CWE mapiranja.
- Izgradite organizacionu strukturu i liderstvo: Dajte prioritet sigurnosti u razvoju proizvoda, napravite odgovarajuća ulaganja i uspostavite strukture koje promovišu proaktivne mjere.
Proizvođači softvera se ohrabruju da prihvate obećanje Secure by Design kako bi pokazali svoju posvećenost principima Secure by Design. Ovo obećanje ističe sedam ključnih ciljeva, uključujući smanjenje sistemskih ranjivosti poput injection OS komande.
Inicijativa Secure by Design ima za cilj podstaći kulturnu promjenu u industriji, promovišući razvoj sigurnih tehnoloških proizvoda koji se koriste iz kutije.
Usvajanjem ovih principa, proizvođači mogu pomoći u zaštiti svojih kupaca i doprinijeti sigurnijem digitalnom okruženju.
Izvor: CyberSecurityNews