CISA ve FBI, teknoloji imalat şirketlerini yazılımlarını gözden geçirmeye ve gelecekteki sürümlerin gönderilmeden önce siteler arası komut dosyaları olmayan güvenlik açıkları içermemesini sağlamaya çağırdı.
İki federal ajans, XSS güvenlik açıklarının bugün hala yayınlanan ve önlenebilir ve yazılım ürünlerinde bulunmaması gerekse bile tehdit aktörleri için daha fazla sömürü fırsatları yarattığını söyledi.
Siber güvenlik ajansı ayrıca, teknoloji imalat şirketlerinin yöneticilerini, kuruluşlarının yazılımlarının resmi incelemelerini azaltma ve XSS kusurlarını tamamen ortadan kaldırabilecek güvenli bir tasarım yaklaşımı uygulamaya teşvik etmeye çağırdı.
"Üreticiler düzgün bir şekilde doğrulayamadıklarında, sterilize etmeyi veya kaçışlardan kaçmadıklarında, siteler arası komut dosyaları güvenlik açıkları ortaya çıkar. Bu başarısızlıklar, tehdit aktörlerinin web uygulamalarına kötü amaçlı komut dosyaları enjekte etmesine, farklı bağlamlarda verileri manipüle etmeleri, çalmasına veya kötüye kullanmasına izin verir," Uyarı okur.
"Bazı geliştiriciler XSS güvenlik açıklarını önlemek için girdi dezenfekte teknikleri kullansa da, bu yaklaşım yanılmaz değildir ve ek güvenlik önlemleriyle güçlendirilmelidir."
Gelecekteki yazılım sürümlerindeki bu tür güvenlik açıklarını önlemek için CISA ve FBI, teknik liderlere tehdit modellerini gözden geçirmelerini ve yazılımın hem yapı hem de anlam için girdiyi doğrulamasını sağlamalarını önerdi.
Ayrıca, uygun kaçış veya alıntı için yerleşik çıktı kodlama işlevlerine sahip modern web çerçevelerini kullanmalıdırlar. Kod güvenliğini ve kalitesini korumak için, geliştirme yaşam döngüsü boyunca ayrıntılı kod incelemeleri ve rakip testler de önerilmektedir.
XSS güvenlik açıkları, 2021 ve 2022 yılları arasında yazılımı rahatsız eden en iyi 25 en tehlikeli yazılım zayıf yönünde ikinci sırada yer aldı ve sadece sınır dışı güvenlik kusurları yazdı.
Bu, mevcut ve etkili hafifletmelerine rağmen, yazılım ürünlerinden henüz ortadan kaldırılmamış yaygın olarak bilinen ve belgelenmiş güvenlik açıklarının yaygınlığını vurgulamak için tasarlanmış CISA'nın Güvenli Tasarım Uyarısı Serisindeki yedinci uyarıdır.
Bu uyarılardan bazıları, Tehdit Oyuncu Etkinliğine yanıt olarak, Temmuz ayında yazılım şirketlerinden, Çin devlet destekli Velvet Ant tehdit grubunun Cisco'ya hacklenmesi için son saldırılarda kullanıldığı Path OS komuta enjeksiyon güvenlik açıklarını ortadan kaldırmasını isteyen bir uyarı gibi yayınlandı. ve Ivanti Network Edge Cihazları.
Mayıs ve Mart aylarında, iki "tasarım tarafından güvenli" uyarılar, yazılım geliştiricilerini ve teknoloji yöneticilerini yol geçiş ve SQL enjeksiyon (SQLI) güvenlik açıklarını önlemeye çağırdı.
CISA ayrıca, küçük ofis/ev ofis (SOHO) yönlendiricilerinin üreticilerini, Volt Typhoon saldırılarına ve teknoloji satıcılarına karşı cihazlarını varsayılan şifrelerle durdurmak için güvence altına almaya çağırdı.
CISA, teknoloji üreticilerini varsayılan şifreleri kullanmayı bırakmaya çağırıyor
CISA: Satıcılar, volt tayfun saldırılarına karşı soho yönlendiricilerini güvence altına almalı
FBI, Halka Hacklenen Seçmen Verilerinin Yanlış İddialarını Göz ardı etmesini söyler
FBI, agresif sosyal mühendislik saldırılarının kripto firmalarını uyardı
FBI: Ransomhub fidye yazılımı Şubat ayından bu yana 210 kurbanı ihlal etti
Kaynak: Bleeping Computer