网络安全和基础设施安全局 (CISA) 和 FBI 发布了一项重要警报,敦促软件开发人员专注于消除允许未经授权的用户在操作系统 (OS) 上运行有害命令的弱点。“安全设计警报”指出,尽管是可以预防的,但操作系统命令注入漏洞仍在继续浮出水面。最近备受瞩目的活动利用了网络边缘设备中的操作系统命令注入缺陷。最近,思科修补了其NX-OS软件中的命令行注入漏洞。该漏洞 CVE-2024-20399 允许经过身份验证的攻击者执行任意命令,并已被中国支持的威胁组织 Velvet Ant 利用。当软件无法正确验证和审查用户输入时,就会发生操作系统命令注入漏洞。这可能导致系统接管、未经授权的代码执行和数据泄露。CISA和FBI敦促技术制造商采用安全设计方法,从源头上消除这些类型的漏洞。在警报中,CISA和FBI呼吁企业领导者通过将OPSEC原则整合到其开发过程中来优先考虑其产品的安全性。他们建议采取多种措施,包括使用更安全的命令生成函数、审查威胁模型、使用现代组件库、进行彻底的代码审查,以及在整个开发生命周期中实施积极的对抗性产品测试。
