CISA dan FBI mendesak perusahaan perangkat lunak pada hari Rabu untuk meninjau produk mereka dan menghilangkan kerentanan injeksi perintah OS sebelum pengiriman.
Saran ini dirilis sebagai respons terhadap serangan baru-baru ini yang mengeksploitasi beberapa kelemahan keamanan injeksi perintah OS (CVE-2024-20399Bahasa Indonesia: CVE-2024-3400Dan CVE-2024-21887) untuk berkompromi Bahasa Indonesia: CiscoBahasa Indonesia: Palo AltoDan Ivanta perangkat tepi jaringan.
Velvet Ant, aktor ancaman yang disponsori negara Tiongkok yang mengoordinasikan serangan ini, menyebarkan malware khusus untuk mendapatkan persistensi pada perangkat yang diretas sebagai bagian dari kampanye spionase cyber.
“Kerentanan injeksi perintah OS muncul ketika produsen gagal memvalidasi dan membersihkan input pengguna dengan benar saat membuat perintah untuk dijalankan pada OS yang mendasarinya,” saran bersama hari ini menjelaskan.
“Merancang dan mengembangkan perangkat lunak yang memercayai masukan pengguna tanpa validasi atau sanitasi yang tepat dapat memungkinkan pelaku ancaman untuk menjalankan perintah jahat, sehingga membahayakan pelanggan.”
CISA menyarankan pengembang untuk menerapkan mitigasi yang terkenal untuk mencegah Kerentanan injeksi perintah OS dalam skala besar saat merancang dan mengembangkan produk perangkat lunak:
- Gunakan fungsi pustaka bawaan yang memisahkan perintah dari argumennya jika memungkinkan alih-alih membuat string mentah yang dimasukkan ke dalam perintah sistem tujuan umum.
- Gunakan parameterisasi input untuk menjaga data terpisah dari perintah; validasi dan bersihkan semua input yang diberikan pengguna.
- Batasi bagian perintah yang dibuat berdasarkan masukan pengguna hanya pada apa yang diperlukan.
Pemimpin teknologi harus terlibat aktif dalam proses pengembangan perangkat lunak. Mereka dapat melakukannya dengan memastikan bahwa perangkat lunak menggunakan fungsi yang menghasilkan perintah dengan aman sambil mempertahankan sintaksis dan argumen yang dimaksudkan dari perintah tersebut.
Selain itu, mereka harus meninjau model ancaman, menggunakan pustaka komponen modern, melakukan tinjauan kode, dan menerapkan pengujian produk yang ketat untuk memastikan kualitas dan keamanan kode mereka sepanjang siklus hidup pengembangan.
“Kerentanan injeksi perintah OS telah lama dapat dicegah dengan memisahkan input pengguna dari konten perintah. Meskipun ada temuan ini, kerentanan injeksi perintah OS—yang sebagian besar merupakan hasil dari CWE-78—masih merupakan kelas kerentanan yang umum,” CISA dan FBI menambahkan.
“CISA dan FBI mendesak para CEO dan pemimpin bisnis lainnya di perusahaan manufaktur teknologi untuk meminta para pemimpin teknis mereka menganalisis kejadian masa lalu dari jenis cacat ini dan mengembangkan rencana untuk menghilangkannya di masa mendatang.”
Bug keamanan injeksi perintah OS diambil tempat kelima dalam 25 kelemahan perangkat lunak paling berbahaya versi MITRE, hanya dilampaui oleh penulisan di luar batas, skrip lintas situs, injeksi SQL, dan kelemahan penggunaan setelah bebas.
Pada bulan Mei dan Maret, dua peringatan “Secure by Design” lainnya mendesak para eksekutif teknologi dan pengembang perangkat lunak untuk menyingkirkan lintasan lintasan Dan Injeksi SQL (SQLi) kerentanan keamanan.
