CISA e FBI hanno emesso un avviso congiunto sull’esploit delle vulnerabilità di OS command injection nei dispositivi di rete.
Pubblicato in risposta alle recenti intrusioni che sfruttano le vulnerabilità CVE-2024-20399 (Cisco NX-OS), CVE-2024-3400 (Palo Alto Networks PAN-OS) e CVE-2024-21887 (Ivanti Connect Secure), CISA e FBI sollecitano i leader aziendali e i produttori di dispositivi a eliminare le vulnerabilità di OS command injection alla fonte.
“Le vulnerabilità di OS command injection sorgono quando i produttori non riescono a validare e sanificare correttamente l’input degli utenti durante la costruzione dei comandi da eseguire sul sistema operativo sottostante. Progettare e sviluppare software che si fida dell’input dell’utente senza la dovuta validazione o sanificazione può consentire agli attori malintenzionati di eseguire comandi dannosi, mettendo a rischio i clienti”, si legge nell’avviso congiunto.
Per prevenire questo tipo di vulnerabilità, le organizzazioni sono invitate ad adottare un approccio secure-by-design durante l’intero ciclo di vita dei prodotti, riducendo il carico sui clienti e il rischio per il pubblico, affermano CISA e FBI.
I leader tecnici, secondo le due agenzie, dovrebbero garantire che le funzioni software generino comandi in modo più sicuro, rivedere i loro modelli di minaccia, condurre revisioni del codice, utilizzare librerie di componenti moderni e implementare test aggressivi dei prodotti contro avversari.
I produttori di software sono consigliati di “utilizzare funzioni di libreria integrate che separano i comandi dai loro argomenti”, di validare e sanificare l’input degli utenti, di mantenere i dati separati dai comandi e di limitare l’input degli utenti nei comandi solo a ciò che è necessario.
Oltre a eliminare i difetti di OS command injection per assumersi la responsabilità degli esiti di sicurezza dei clienti, le agenzie esortano i produttori a essere trasparenti nella divulgazione dei difetti di sicurezza nei loro prodotti, a dare alla sicurezza del prodotto la stessa importanza dei costi, a fare gli investimenti appropriati per promuovere la sicurezza, a prioritizzare misure proattive e a garantire che le loro organizzazioni conducano revisioni per identificare le vulnerabilità comuni.
“Per dimostrare il loro impegno a costruire i loro prodotti in modo sicuro fin dall’inizio, i produttori di software dovrebbero prendere l’impegno Secure by Design. L’impegno stabilisce sette obiettivi chiave che i firmatari si impegnano a dimostrare un progresso misurabile, tra cui la riduzione delle classi sistemiche di vulnerabilità come l’OS command injection”, osservano le due agenzie.
Le tre vulnerabilità in breve
CVE-2024-20399 (Cisco NX-OS): Questa vulnerabilità in Cisco NX-OS consente agli attaccanti di eseguire comandi arbitrari sul dispositivo di rete sfruttando un’errata gestione degli input utente non validati. Un attacco riuscito può permettere agli attori malintenzionati di prendere il controllo del dispositivo, compromettere la rete e accedere a informazioni sensibili.
CVE-2024-3400 (Palo Alto Networks PAN-OS): Questa vulnerabilità riguarda Palo Alto Networks PAN-OS e consente l’esecuzione di comandi non autorizzati sul sistema operativo del firewall. Un attaccante può sfruttare questa falla per bypassare le misure di sicurezza, modificare le configurazioni e compromettere l’integrità del dispositivo e della rete protetta.
CVE-2024-21887 (Ivanti Connect Secure): Questa vulnerabilità in Ivanti Connect Secure permette l’esecuzione di comandi arbitrari attraverso input utente non adeguatamente sanificati. Gli attaccanti possono utilizzare questa vulnerabilità per ottenere accesso non autorizzato al sistema, eseguire codice dannoso e mettere a rischio la sicurezza delle comunicazioni sicure gestite da Ivanti Connect Secure.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!