Limburger Zeitung

Deutsche und europäische Nachrichten, Analysen, Meinungen und aktuelle Nachrichten des deutschen internationalen Senders.

CISA fordert Entwickler dringend auf, Schwachstellen bei der Befehlseinschleusung im Betriebssystem zu beseitigen

CISA fordert Entwickler dringend auf, Schwachstellen bei der Befehlseinschleusung im Betriebssystem zu beseitigen

Die Cybersecurity and Infrastructure Agency (CISA) und das Federal Bureau of Investigation (FBI) forderten Softwareunternehmen am Mittwoch auf, ihre Produkte zu überprüfen und vor der Auslieferung Path-OS-Command-Injection-Schwachstellen zu beseitigen.

Das Advisory wurde als Reaktion auf die jüngsten Angriffe herausgegeben, bei denen mehrere Sicherheitslücken bei der Befehlsinjektion im Betriebssystem ausgenutzt wurden (CVE-2024-20399, CVE-2024-3400Und CVE-2024-21887), um Netzwerk-Edge-Geräte von Cisco, Palo Alto und Ivanti zu gefährden.

Velvet Ant, der staatlich geförderte chinesische Akteur, der diese Angriffe koordinierte, setzte im Rahmen einer Cyberspionagekampagne Malware ein, die darauf abzielte, sich auf kompromittierten Geräten zu verbreiten.

„Sicherheitslücken bei der Eingabe von Betriebssystembefehlen entstehen, wenn Hersteller es versäumen, Benutzereingaben ordnungsgemäß zu validieren und zu bereinigen, wenn sie Befehle erstellen, die auf dem zugrunde liegenden Betriebssystem ausgeführt werden sollen“, heißt es heute in der gemeinsamen Empfehlung. Alles klar.

„Das Entwerfen und Entwickeln von Software, die Benutzereingaben ohne ordnungsgemäße Überprüfung oder Bereinigung vertraut, kann es Bedrohungsakteuren ermöglichen, böswillige Befehle auszuführen und so Kunden einem Risiko auszusetzen.“

CISA empfiehlt Entwicklern, bekannte Abhilfemaßnahmen zu ergreifen, um dies zu verhindern Sicherheitslücken bei der Befehlseinschleusung des Betriebssystems Umfangreich beim Entwerfen und Entwickeln von Softwareprodukten:

  • Verwenden Sie integrierte Bibliotheksfunktionen, die nach Möglichkeit Befehle von ihren Argumenten trennen, anstatt Rohzeichenfolgen zu erstellen, die in einen generischen Systembefehl eingespeist werden.
  • Verwenden Sie Eingabeparameter, um Daten von Befehlen zu trennen. Alle vom Benutzer bereitgestellten Eingaben werden validiert und gelöscht.
  • Beschränken Sie Teile der durch Benutzereingaben generierten Befehle auf das Notwendige.

Technologieführer müssen aktiv in den Softwareentwicklungsprozess eingebunden werden. Sie können dies erreichen, indem sie sicherstellen, dass die Software Funktionen verwendet, die Befehle sicher generieren und gleichzeitig die beabsichtigte Syntax und die Argumente des Befehls beibehalten.

Siehe auch  Beste LG C1 OLED TV-Angebote für den zweiten Weihnachtsfeiertag: Große Angebote für diesen erstaunlichen 4K-Fernseher 2021

Darüber hinaus müssen sie Bedrohungsmodelle überprüfen, moderne Komponentenbibliotheken verwenden, Codeüberprüfungen durchführen und strenge Produkttests durchführen, um die Qualität und Sicherheit ihres Codes während des gesamten Entwicklungslebenszyklus sicherzustellen.

Die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) fügten hinzu, dass „OS Command Injection-Schwachstellen seit langem vermeidbar sind, indem Benutzereingaben klar von Befehlsinhalten getrennt werden.“ Trotz dieser Entdeckung gibt es viele Exploits davon stammen aus der CWE-78-Schwachstelle – bleiben eine dominierende Klasse von Schwachstellen.“

„CISA und das FBI fordern CEOs und andere Führungskräfte von Technologieherstellern dringend auf, ihre technischen Leiter zu bitten, frühere Vorkommnisse dieser Art von Anomalien zu analysieren und einen Plan zu entwickeln, um sie in der Zukunft zu beseitigen.“

Sicherheitslücken bei der Befehlsinjektion von Betriebssystemen belegten auf der MITRE-Liste der 25 gefährlichsten Softwareschwachstellen den fünften Platz, nur übertroffen von Schwachstellen außerhalb des zulässigen Bereichs, Cross-Site-Scripting, SQL-Injection und Fehlern bei der Verwendung nach der Veröffentlichung.

Im Mai und März forderten andere Security by Design-Warnungen Technologiemanager und Softwareentwickler auf, Sicherheitslücken bei Pass-Through und SQL-Injection (SQLi) zu schließen.