A CISA e o FBI instaram as empresas de fabricação de tecnologia a revisarem seu software e assegurarem que lançamentos futuros estejam livres de vulnerabilidades de cross-site scripting (XSS) antes de distribuí-los.
As duas agências federais relataram que vulnerabilidades de XSS ainda afetam softwares lançados atualmente, criando mais oportunidades de exploração para agentes de ameaças, embora sejam preveníveis e não devessem estar presentes em produtos de software.
A agência de cibersegurança também exortou os executivos das empresas de manufatura tecnológica a promoverem revisões formais do software de suas organizações para implementar mitigações e uma abordagem de segurança desde a concepção (secure-by-design) que poderia eliminar completamente as falhas de XSS.
"Vulnerabilidades de cross-site scripting surgem quando os fabricantes falham em validar, sanear ou escapar entradas adequadamente. Essas falhas permitem que agentes de ameaças injetem scripts maliciosos em aplicações web, explorando-as para manipular, roubar ou usar indevidamente dados em diferentes contextos," lê-se no alerta conjunto de hoje.
Embora alguns desenvolvedores empreguem técnicas de saneamento de entrada para prevenir vulnerabilidades de XSS, essa abordagem não é infalível e deve ser reforçada com medidas de segurança adicionais.
Para prevenir tais vulnerabilidades em futuros lançamentos de software, a CISA e o FBI aconselharam líderes técnicos a revisarem modelos de ameaças e assegurarem que o software valide entrada tanto para estrutura quanto para significado.
Eles também devem utilizar frameworks web modernos com funções integradas de codificação de saída para uma adequada fuga ou citação.
Para manter a segurança e a qualidade do código, revisões de código detalhadas e testes adversariais ao longo do ciclo de desenvolvimento são igualmente recomendados.
Vulnerabilidades de XSS ocuparam o segundo lugar no top 25 das fraquezas de software mais perigosas elaborado pela MITRE, afetando softwares entre 2021 e 2022, superadas apenas por falhas de segurança de escrita fora dos limites.
Este é o sétimo alerta na série de alertas Secure by Design da CISA, projetado para destacar a prevalência de vulnerabilidades amplamente conhecidas e documentadas que ainda não foram eliminadas de produtos de software, apesar das mitigações disponíveis e eficazes.
Alguns desses alertas foram lançados em resposta à atividade de agentes de ameaças, como um alerta pedindo às empresas de software em julho para eliminar vulnerabilidades de injeção de comando de sistema operacional exploradas pelo grupo de ameaça patrocinado pelo estado Chinês Velvet Ant em ataques recentes para hackear dispositivos de borda de rede da Cisco, Palo Alto e Ivanti.
Em maio e março, mais dois alertas "Secure by Design" instaram desenvolvedores de software e executivos de tecnologia a prevenir vulnerabilidades de segurança de travessia de caminho e injeção SQL (SQLi).
A CISA também instou os fabricantes de roteadores para pequenos escritórios/escritórios domésticos (SOHO) a protegerem seus dispositivos contra ataques Volt Typhoon e fornecedores de tecnologia a pararem de enviar software e dispositivos com senhas padrão.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...