CISA e FBI recomendam revisão de softwares
11 de Julho de 2024

A CISA e o FBI instaram empresas de software na quarta-feira a revisarem seus produtos e eliminarem vulnerabilidades de injeção de comando de sistema operacional (OS) antes de disponibilizá-los ao mercado.

O comunicado foi divulgado em resposta a ataques recentes que exploraram múltiplas falhas de segurança de injeção de comando OS (CVE-2024-20399, CVE-2024-3400 e CVE-2024-21887) para comprometer dispositivos de borda de rede da Cisco, Palo Alto e Ivanti.

Velvet Ant, o ator de ameaças patrocinado pelo estado Chinês que coordenou esses ataques, implantou malware personalizado para manter a persistência nos dispositivos hackeados como parte de uma campanha de espionagem cibernética.

"Vulnerabilidades de injeção de comando OS surgem quando os fabricantes falham em validar e sanitizar adequadamente a entrada do usuário ao construir comandos para executar no OS subjacente", explica o comunicado conjunto de hoje.

Projetar e desenvolver software que confia na entrada do usuário sem validação ou sanitização adequada pode permitir que atores de ameaças executem comandos maliciosos, colocando os clientes em risco.

A CISA aconselha os desenvolvedores a implementarem mitigação conhecida contra vulnerabilidades de injeção de comando OS em larga escala durante o projeto e desenvolvimento de produtos de software:

Usar funções de bibliotecas integradas que separam comandos de seus argumentos sempre que possível, em vez de construir strings brutos alimentados em um comando de sistema de propósito geral.

Usar a parametrização de entrada para manter dados separados dos comandos; validar e sanitizar todas as entradas fornecidas pelo usuário.
Limitar as partes dos comandos construídas pela entrada do usuário apenas ao que é necessário.

Líderes técnicos devem estar envolvidos ativamente no processo de desenvolvimento de software.

Eles podem fazer isso garantindo que o software utilize funções que gerem comandos de maneira segura, preservando a sintaxe e os argumentos pretendidos do comando.

Adicionalmente, devem revisar modelos de ameaças, usar bibliotecas de componentes modernos, conduzir revisões de código e implementar testes de produto rigorosos para garantir a qualidade e segurança do código ao longo do ciclo de desenvolvimento.

"Vulnerabilidades de injeção de comando OS há muito são evitáveis por meio da separação clara da entrada do usuário do conteúdo de um comando.Apesar dessa constatação, vulnerabilidades de injeção de comando OS — muitas das quais resultam de CWE-78 — ainda são uma classe prevalente de vulnerabilidade", acrescentaram a CISA e o FBI.

A CISA e o FBI instam CEOs e outros líderes empresariais de fabricantes de tecnologia a solicitarem que seus líderes técnicos analisem ocorrências passadas dessa classe de defeito e desenvolvam um plano para eliminá-los no futuro.

Falhas de segurança de injeção de comando OS ocuparam o quinto lugar na lista da MITRE das 25 vulnerabilidades de software mais perigosas, superadas apenas por escrita fora dos limites, cross-site scripting, SQL injection e falhas de uso após a liberação.

Em maio e março, outros dois alertas "Seguro por Design" instaram executivos de tecnologia e desenvolvedores de software a eliminar vulnerabilidades de segurança de travessia de caminho e injeção de SQL (SQLi).

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...