2024 年 7 月 10 日,CISA 和 FBI 发布了新的安全设计警报,强调了常见软件产品中OS(操作系统)命令注入漏洞的危险。
尽管这些漏洞在现代软件解决方案中继续出现,但已经存在明确的安全设计原则,制造商可以遵循这些原则来保护客户免受恶意网络行为者的侵害。
尽管操作系统命令注入漏洞是可以预防的,但它们仍被视为一种普遍存在的危险,因此人们对该问题的认识不断提高。
什么是操作系统命令注入漏洞?
操作系统命令注入是一种软件设计缺陷,源于软件在允许特定用户执行系统命令之前未能正确验证特定用户输入。
这个用于创建各种软件功能的编码中看似无害的缺陷却非常危险。它允许攻击者在输入字段中执行任意命令,从而可能使他们获得对目标系统的完全管理访问权限。
软件厂商如何有效消除OS常见的注入漏洞?
一段时间以来,软件制造商一直在概述如何大规模消除操作系统命令注入漏洞的预防措施。这些预防措施包括:
-
使用内置库函数:在用 Python 编写代码时,软件开发人员不应使用原始字符串,而应使用专门设计用于更安全地处理用户输入的预先存在的库函数。许多此类预构建函数都有自己的内置输入清理协议,可以防止恶意代码注入。
-
建立输入参数化: 输入参数化可确保所有用户提供的输入都被归类为数据,并且不能用作命令参数。这种分离是另一种可以最大限度地降低注入攻击可能性的技术。
-
验证和限制所有输入: 适当的协议应验证和清理所有用户提供的输入,以确保它们符合预先设定的格式或模式。开发人员还应尽可能限制用户输入的数量和长度,以帮助减少数字攻击面。
软件制造商和客户应遵循的重要安全设计原则
CISA 和 FBI 一直密切合作,帮助指导制造商接管其软件设计流程的更多所有权和控制权。这一切都始于对变化持开放态度,并将网络安全准备放在更高的优先级,尤其是针对操作系统命令注入漏洞和其他可预防的漏洞。
为了帮助制造商提高这种意识水平,CISA 与 17 个美国和国际合作伙伴创建了一份资源文件,题为《改变网络安全风险平衡:安全设计软件的原则和方法》,概述了关键的软件产品安全原则。
本文件概述的三个核心原则包括:
-
对客户安全结果负责。
-
拥抱彻底的透明度和责任感。
-
建立组织结构和领导力来实现这些目标。
本资源中讨论的指导原则是针对为其组织购买软件的制造商和客户而设计的。
在提供制造商可采取的可行步骤以成功体现安全设计理念的同时,该资源还有望被用作企业客户可纳入其采购流程、供应商尽职调查评估和风险管理程序的模板。
遵循安全设计原则原则 1:对客户安全结果负责软件制造商应通过消除产品中的操作系统命令注入漏洞来承担客户的安全后果。制造商应在关键的安全领域进行投资,以保护其客户和公众。这些包括为开发人员提供安全的构建模块,以确保单个错误不会危及数百万用户的数据。对于多年来一直被理解的漏洞,漏洞检测、缓解和补丁部署周期并不是持久的安全方法。有效的机制可以大规模防止此类漏洞,软件制造商应尽可能在开发周期的早期实施这些机制。采用标准最佳实践(例如上面列出的指导)可以帮助制造商从源头上根除操作系统命令注入漏洞,而不是依赖客户应用修复。制造商还应实施自动化机制,防止其软件使用不安全的功能。 此外,软件制造商的高级管理人员必须对客户的安全负责,首先要定期测试和进行代码审查,以确定产品是否容易受到攻击。开放 Web 应用程序安全项目 (OWASP)其他实体提供了有关测试方法和可用技术的指导。 原则 2:推行彻底的透明度和问责制制造商在披露产品漏洞时应保持透明度。为此,制造商应跟踪与其产品相关的漏洞,并通过 CVE 计划其客户披露这些漏洞。制造商应确保其 CVE 记录准确且完整。除了提供 CVE 之外,制造商提供准确的 CWE射也尤为重要,这样行业就可以跟踪软件缺陷的类别,客户也可以了解特定供应商的开发实践可能需要改进的领域。[7] 许多(但并非全部)操作系统命令注入漏洞都是CWE-78成的。因此,制造商应识别并记录操作系统命令注入漏洞的根本原因,并宣布努力消除整个类别的漏洞是业务目标。软件制造商还应维护现代漏洞披露计划 (VDP)。注意: CISA 提供资源来帮助组织建立和维护 VDP。 原则 3:建立组织结构和领导力以实现这些目标技术制造主管应该:
|
安全设计承诺
除了讨论的安全设计原则外,CISA还鼓励所有企业软件和服务提供商迈出重要的一步,采取安全设计承诺。此志愿者承诺主要针对本地软件、云服务和软件即服务 (SaaS) 提供商,并制定了专注于以下几个关键领域的业务目标:
-
多重身份验证(MFA)
-
减少默认密码
-
减少各类漏洞
-
及时的安全补丁
-
制定漏洞披露政策
-
常见漏洞和暴露 (CVE) 报告
-
向客户提供入侵证据
由于操作系统常见注入漏洞持续存在,CISA和FBI的提醒显然是及时的。这些担忧应该促使软件制造商及其客户考虑如何优先考虑数字安全方面的更高标准。
往期回顾
原文始发于微信公众号(河南等级保护测评):美国CISA和FBI警告公众注意操作系统命令注入漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论