CISA y el FBI instaron a las empresas de fabricación de tecnología a revisar
su software y asegurarse de que las versiones futuras estén libres de
vulnerabilidades de Cross-site Scripting (XSS) antes de su publicación.
Las dos agencias federales dijeron que las vulnerabilidades XSS todavía
afectan al software lanzado hoy, creando más oportunidades de explotación
para los actores de amenazas, aunque se pueden prevenir y no deberían estar
presentes en los productos de software.
La agencia de ciberseguridad también instó a los ejecutivos de las empresas de
fabricación de tecnología a solicitar revisiones formales del software de sus
organizaciones para implementar mitigaciones y un enfoque seguro por diseño
que podría eliminar por completo las fallas XSS.
«Las vulnerabilidades XSS surgen cuando los fabricantes no validan, limpian
o escapan adecuadamente las entradas. Estas fallas permiten a los actores de
amenazas inyectar secuencias de comandos maliciosas en aplicaciones web,
explotándolas para manipular, robar o hacer un mal uso de datos en
diferentes contextos»,
dice el informe.
«Aunque algunos desarrolladores emplean técnicas de desinfección de
entradas para prevenir vulnerabilidades XSS, este enfoque no es infalible y
debería reforzarse con medidas de seguridad adicionales».
Para evitar este tipo de vulnerabilidades en futuras versiones de software,
CISA y el FBI aconsejaron a los líderes técnicos que revisen los modelos de
amenazas y se aseguren de que el software valide las entradas tanto en
estructura como en significado.
También deberían utilizar marcos web modernos con funciones de codificación de
salida integradas para escapar o validar correctamente. Para mantener la
seguridad y la calidad del código, también se recomiendan revisiones
detalladas del código y pruebas adversas durante todo el ciclo de vida del
desarrollo.
Las vulnerabilidades XSS (CWE 79) ocuparon el segundo lugar entre las
25 debilidades CWE
de software más peligrosas de MITRE que afectaron al software entre 2021 y
2022, superadas solo por las fallas de seguridad de escritura fuera de
límites.
Esta es la séptima alerta de la serie de alertas
Secure by Design de CISA, diseñada para resaltar la prevalencia de vulnerabilidades ampliamente
conocidas y documentadas que aún no se han eliminado de los productos de
software a pesar de las mitigaciones disponibles y efectivas.
Algunas de estas alertas se han publicado en respuesta a la actividad de los
actores de amenazas, como una alerta que pedía a las empresas de software en
julio que eliminaran las
vulnerabilidades de inyección de comandos del sistema operativo
explotadas por el grupo de amenazas Velvet Ant patrocinado por el estado chino
en ataques recientes para hackear
Cisco,
Palo Alto, y
Ivanti
En mayo y marzo, dos alertas más «Secure by Design» instaron a los
desarrolladores de software y ejecutivos de tecnología a evitar
vulnerabilidades de
Path Traversal
e
Inyección SQL (SQLi).
CISA también instó a los fabricantes de enrutadores para pequeñas oficinas y
oficinas domésticas (SOHO) a proteger sus dispositivos contra los
ataques Volt Typhoon
y a los proveedores de tecnología a
dejar de enviar software y dispositivos con contraseñas predeterminadas.
Enlaces:
- Secure-by-Design
-
Secure by Design Alert: Eliminating Cross-Site Scripting
Vulnerabilities -
Secure by Design Alert: Eliminating OS Command Injection
Vulnerabilities -
Secure by Design Alert: Eliminating Directory Traversal Vulnerabilities
in Software -
Secure by Design Alert: Eliminating SQL Injection Vulnerabilities in
Software -
Secure by Design Alert: Security Design Improvements for SOHO Device
Manufacturers -
Secure by Design Alert: How Manufacturers Can Protect Customers by
Eliminating Default Passwords -
Secure by Design Alert: How Software Manufacturers Can Shield Web
Management Interfaces From Malicious Cyber Activity