FEHLER!

Sicherheitsbehörden warnen vor Schwachstellen in Software: OS Command Injection

Die Sicherheitsbehörden CISA (Cybersecurity and Infrastructure Security Agency) und FBI (Federal Bureau of Investigation) haben kürzlich im Zuge ihrer Secure by Design-Kampagne einen Bericht veröffentlicht, der auf Sicherheitslücken in Software hinweist. Das Ziel dieser Aktion ist es, Entwickler und Unternehmen über diese Schwachstellen aufzuklären und Möglichkeiten zur Vermeidung aufzuzeigen. In ihrem neuesten Bericht haben sich die IT-Experten genauer mit OS Command Injection beschäftigt.

OS Command Injection ist eine Sicherheitslücke, bei der Angreifer durch unzureichende Filterung von übermittelten Daten Befehle einschleusen können, die dann an das Betriebssystem weitergeleitet und dort ausgeführt werden. Das ermöglicht den Angreifern, unerwünschte Aktionen auszuführen und großen Schaden anzurichten.

Die Sicherheitsbehörden betonen, dass solche Schwachstellen vermieden werden können, wenn bereits während der Entwicklung von Software auf Sicherheitsaspekte geachtet wird. Der Ansatz „Secure by Design“ zielt darauf ab, Sicherheit von Anfang an zu berücksichtigen. Leider kommt es jedoch immer wieder zu Lücken, die von bösartigen Angreifern ausgenutzt werden.

Der Bericht wurde als Reaktion auf jüngste Angriffe von bekannten Cyberkriminellen auf OS Command Injection Schwachstellen in Edge-Geräten veröffentlicht. Diese Angriffe zielten darauf ab, Nutzer zu kompromittieren und sensible Daten zu stehlen. Beispiele für Schwachstellen werden in Ciscos NX-OS genannt, die bereits seit April attackiert wird, sowie ähnliche Schwachstellen in Palo-Alto-Firewalls (PAN-OS-Betriebssystem), Ivantis und Policy Secure. Angreifer können mithilfe dieser Schwachstellen Code auf Netzwerk-Edge-Geräten ausführen und so die Kontrolle über diese Geräte erlangen.

Die IT-Experten erklären, dass OS Command Injection Lücken auftreten, wenn Hersteller es versäumen, die Eingaben der Nutzer angemessen zu überprüfen und zu filtern, die bei der Erstellung von Befehlen für das darunterliegende Betriebssystem verwendet werden. Um solche Schwachstellen zu vermeiden, empfehlen die Sicherheitsbehörden, dass Software-Hersteller sicherere Funktionen verwenden sollten, um Befehle zu erstellen, die die vorgesehene Syntax des Befehls und seiner Argumente berücksichtigen. Das OWASP Cheat-Sheet bietet hierbei Unterstützung und zeigt bewährte Methoden auf.

Zusätzlich wird empfohlen, dass Entwickler das zugrundeliegende Bedrohungsmodell überprüfen, moderne Komponenten-Bibliotheken verwenden, Code-Reviews durchführen und während des gesamten Entwicklungsprozesses umfangreiche Produkttests durchführen, um die Qualität und Sicherheit ihres Codes sicherzustellen. Die Behörden geben noch weitere spezifische Ratschläge, um Software sicherer zu entwickeln.

Eine der Empfehlungen lautet, dass Entwickler besser auf eingebaute Bibliotheksfunktionen zurückgreifen sollten, um Befehle von den Argumenten zu trennen, anstatt rohe Zeichenketten zu erstellen, die direkt an einen Systembefehl übergeben werden. Des Weiteren wird empfohlen, Input-Parametrisierung zu verwenden, um Daten und Befehle voneinander zu trennen, während gleichzeitig die Eingaben überprüft und gefiltert werden. Darüber hinaus sollten die Bestandteile des Befehls, die zusammengestellt werden, auf die notwendigen Benutzereingaben begrenzt werden.

Abschließend präsentiert der Bericht einige konkrete Beispiele für Python-Code, um die Empfehlungen verdeutlichen. Es ist wichtig, dass Entwickler und Unternehmen diese Sicherheitsempfehlungen ernst nehmen und in ihre Softwareentwicklung integrieren, um Schwachstellen zu vermeiden und die Sicherheit der Nutzer zu gewährleisten.

Schlagwörter: CISA + FBI + Unheil

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 11. Juli 2024