Secure by Design Alert: Az OS command injection sérülékenységek kiküszöbölése
Az operációs rendszer (OS) parancsinjekciós sérülékenységek a szoftvertermékekben található biztonsági hibák egy megelőzhető osztályát jelentik. A szoftvergyártók már a forrásuknál kiküszöbölhetik őket a tervezéssel megvalósított biztonságos megközelítéssel. Ennek ellenére az operációs rendszer parancsinjekciós sérülékenységek továbbra is felszínre kerülnek, lehetővé téve a támadók számára, hogy kihasználva azokat, kárt okozzanak. Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a Szövetségi Nyomozó Iroda (FBI) egy Secure by Design figyelmeztetést hozott nyilvánosságra 2024. július 10-én, a kiberszereplők által a hálózati eszközökben található operációs rendszer parancsinjekciós hibáit kihasználó kampányokra válaszul (CVE-2024-20399, CVE-2024-3400, CVE-2024-21887). Ezek a sérülékenységek lehetővé tették a nem hitelesített rosszindulatú szereplők számára, hogy távolról futtassanak kódot a hálózati peremeszközökön.
Az operációs rendszer parancsinjekciós sérülékenységek akkor keletkeznek, amikor a gyártók nem validálják (validate) és tisztítják (sanitize) megfelelően a felhasználói bemenetet, amikor a mögöttes operációs rendszeren végrehajtandó parancsokat szerkesztenek. Az olyan szoftverek tervezése és fejlesztése, amelyek megfelelő validálás vagy tisztítás nélkül bíznak a felhasználói bemenetben, lehetővé teheti a kiberszereplők számára, hogy rosszindulatú parancsokat hajtsanak végre, veszélyeztetve ezzel az ügyfeleket.
