CISA、FBI 警告操作系统命令注入漏洞

阅读量44319

发布时间 : 2024-07-17 12:15:49

x
译文声明

本文是翻译文章,文章原作者 Dark Reading Staff,文章来源:DARKREADING

原文地址:https://www.darkreading.com/vulnerabilities-threats/cisa-fbi-warn-of-os-command-injection-vulnerabilities

译文仅供参考,具体内容表达以及含义原文为准。

网络安全和基础设施安全局 (CISA) 和 FBI 发布了一项重要警报,敦促软件开发人员专注于消除允许未经授权的用户在操作系统 (OS) 上运行有害命令的弱点。

安全设计警报”指出,尽管是可以预防的,但操作系统命令注入漏洞仍在继续浮出水面。最近备受瞩目的活动利用了网络边缘设备中的操作系统命令注入缺陷。最近,思科修补了其NX-OS软件中的命令行注入漏洞。该漏洞 CVE-2024-20399 允许经过身份验证的攻击者执行任意命令,并已被中国支持的威胁组织 Velvet Ant 利用。

当软件无法正确验证和审查用户输入时,就会发生操作系统命令注入漏洞。这可能导致系统接管、未经授权的代码执行和数据泄露。CISA和FBI敦促技术制造商采用安全设计方法,从源头上消除这些类型的漏洞。

在警报中,CISA和FBI呼吁企业领导者通过将OPSEC原则整合到其开发过程中来优先考虑其产品的安全性。他们建议采取多种措施,包括使用更安全的命令生成函数、审查威胁模型、使用现代组件库、进行彻底的代码审查,以及在整个开发生命周期中实施积极的对抗性产品测试。

本文翻译自DARKREADING 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66