CISA y el FBI instaron a las empresas de fabricación de tecnología a revisar su software y asegurarse de que las versiones futuras estén libres de vulnerabilidades de Cross-site Scripting (XSS) antes de su publicación.
Las dos agencias federales dijeron que las vulnerabilidades XSS todavía afectan al software lanzado hoy, creando más oportunidades de explotación para los actores de amenazas, aunque se pueden prevenir y no deberían estar presentes en los productos de software.
La agencia de ciberseguridad también instó a los ejecutivos de las empresas de fabricación de tecnología a solicitar revisiones formales del software de sus organizaciones para implementar mitigaciones y un enfoque seguro por diseño que podría eliminar por completo las fallas XSS.
"Las vulnerabilidades XSS surgen cuando los fabricantes no validan, limpian o escapan adecuadamente las entradas. Estas fallas permiten a los actores de amenazas inyectar secuencias de comandos maliciosas en aplicaciones web, explotándolas para manipular, robar o hacer un mal uso de datos en diferentes contextos", dice el informe. "Aunque algunos desarrolladores emplean técnicas de desinfección de entradas para prevenir vulnerabilidades XSS, este enfoque no es infalible y debería reforzarse con medidas de seguridad adicionales".
Para evitar este tipo de vulnerabilidades en futuras versiones de software, CISA y el FBI aconsejaron a los líderes técnicos que revisen los modelos de amenazas y se aseguren de que el software valide las entradas tanto en estructura como en significado.
También deberían utilizar marcos web modernos con funciones de codificación de salida integradas para escapar o validar correctamente. Para mantener la seguridad y la calidad del código, también se recomiendan revisiones detalladas del código y pruebas adversas durante todo el ciclo de vida del desarrollo.
Las vulnerabilidades XSS (CWE 79) ocuparon el segundo lugar entre las 25 debilidades CWE de software más peligrosas de MITRE que afectaron al software entre 2021 y 2022, superadas solo por las fallas de seguridad de escritura fuera de límites.
Esta es la séptima alerta de la serie de alertas Secure by Design de CISA, diseñada para resaltar la prevalencia de vulnerabilidades ampliamente conocidas y documentadas que aún no se han eliminado de los productos de software a pesar de las mitigaciones disponibles y efectivas.
Algunas de estas alertas se han publicado en respuesta a la actividad de los actores de amenazas, como una alerta que pedía a las empresas de software en julio que eliminaran las vulnerabilidades de inyección de comandos del sistema operativo explotadas por el grupo de amenazas Velvet Ant patrocinado por el estado chino en ataques recientes para hackear Cisco, Palo Alto, y Ivanti
En mayo y marzo, dos alertas más "Secure by Design" instaron a los desarrolladores de software y ejecutivos de tecnología a evitar vulnerabilidades de Path Traversal e Inyección SQL (SQLi).
CISA también instó a los fabricantes de enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) a proteger sus dispositivos contra los ataques Volt Typhoon y a los proveedores de tecnología a dejar de enviar software y dispositivos con contraseñas predeterminadas.
Enlaces:
- Secure-by-Design
- Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities
- Secure by Design Alert: Eliminating OS Command Injection Vulnerabilities
- Secure by Design Alert: Eliminating Directory Traversal Vulnerabilities in Software
- Secure by Design Alert: Eliminating SQL Injection Vulnerabilities in Software
- Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers
- Secure by Design Alert: How Manufacturers Can Protect Customers by Eliminating Default Passwords
- Secure by Design Alert: How Software Manufacturers Can Shield Web Management Interfaces From Malicious Cyber Activity