Die Sicherheitsbeh\u00f6rden CISA (Cybersecurity and Infrastructure Security Agency) und FBI (Federal Bureau of Investigation) haben k\u00fcrzlich im Zuge ihrer Secure by Design-Kampagne einen Bericht ver\u00f6ffentlicht, der auf Sicherheitsl\u00fccken in Software hinweist. Das Ziel dieser Aktion ist es, Entwickler und Unternehmen \u00fcber diese Schwachstellen aufzukl\u00e4ren und M\u00f6glichkeiten zur Vermeidung aufzuzeigen. In ihrem neuesten Bericht haben sich die IT-Experten genauer mit OS Command Injection besch\u00e4ftigt.<\/p>\n
OS Command Injection ist eine Sicherheitsl\u00fccke, bei der Angreifer durch unzureichende Filterung von \u00fcbermittelten Daten Befehle einschleusen k\u00f6nnen, die dann an das Betriebssystem weitergeleitet und dort ausgef\u00fchrt werden. Das erm\u00f6glicht den Angreifern, unerw\u00fcnschte Aktionen auszuf\u00fchren und gro\u00dfen Schaden anzurichten.<\/p>\n
Die Sicherheitsbeh\u00f6rden betonen, dass solche Schwachstellen vermieden werden k\u00f6nnen, wenn bereits w\u00e4hrend der Entwicklung von Software auf Sicherheitsaspekte geachtet wird. Der Ansatz „Secure by Design“ zielt darauf ab, Sicherheit von Anfang an zu ber\u00fccksichtigen. Leider kommt es jedoch immer wieder zu L\u00fccken, die von b\u00f6sartigen Angreifern ausgenutzt werden.<\/p>\n
Der Bericht wurde als Reaktion auf j\u00fcngste Angriffe von bekannten Cyberkriminellen auf OS Command Injection Schwachstellen in Edge-Ger\u00e4ten ver\u00f6ffentlicht. Diese Angriffe zielten darauf ab, Nutzer zu kompromittieren und sensible Daten zu stehlen. Beispiele f\u00fcr Schwachstellen werden in Ciscos NX-OS genannt, die bereits seit April attackiert wird, sowie \u00e4hnliche Schwachstellen in Palo-Alto-Firewalls (PAN-OS-Betriebssystem), Ivantis und Policy Secure. Angreifer k\u00f6nnen mithilfe dieser Schwachstellen Code auf Netzwerk-Edge-Ger\u00e4ten ausf\u00fchren und so die Kontrolle \u00fcber diese Ger\u00e4te erlangen.<\/p>\n
Die IT-Experten erkl\u00e4ren, dass OS Command Injection L\u00fccken auftreten, wenn Hersteller es vers\u00e4umen, die Eingaben der Nutzer angemessen zu \u00fcberpr\u00fcfen und zu filtern, die bei der Erstellung von Befehlen f\u00fcr das darunterliegende Betriebssystem verwendet werden. Um solche Schwachstellen zu vermeiden, empfehlen die Sicherheitsbeh\u00f6rden, dass Software-Hersteller sicherere Funktionen verwenden sollten, um Befehle zu erstellen, die die vorgesehene Syntax des Befehls und seiner Argumente ber\u00fccksichtigen. Das OWASP Cheat-Sheet bietet hierbei Unterst\u00fctzung und zeigt bew\u00e4hrte Methoden auf.<\/p>\n
Zus\u00e4tzlich wird empfohlen, dass Entwickler das zugrundeliegende Bedrohungsmodell \u00fcberpr\u00fcfen, moderne Komponenten-Bibliotheken verwenden, Code-Reviews durchf\u00fchren und w\u00e4hrend des gesamten Entwicklungsprozesses umfangreiche Produkttests durchf\u00fchren, um die Qualit\u00e4t und Sicherheit ihres Codes sicherzustellen. Die Beh\u00f6rden geben noch weitere spezifische Ratschl\u00e4ge, um Software sicherer zu entwickeln.<\/p>\n
Eine der Empfehlungen lautet, dass Entwickler besser auf eingebaute Bibliotheksfunktionen zur\u00fcckgreifen sollten, um Befehle von den Argumenten zu trennen, anstatt rohe Zeichenketten zu erstellen, die direkt an einen Systembefehl \u00fcbergeben werden. Des Weiteren wird empfohlen, Input-Parametrisierung zu verwenden, um Daten und Befehle voneinander zu trennen, w\u00e4hrend gleichzeitig die Eingaben \u00fcberpr\u00fcft und gefiltert werden. Dar\u00fcber hinaus sollten die Bestandteile des Befehls, die zusammengestellt werden, auf die notwendigen Benutzereingaben begrenzt werden.<\/p>\n
Abschlie\u00dfend pr\u00e4sentiert der Bericht einige konkrete Beispiele f\u00fcr Python-Code, um die Empfehlungen verdeutlichen. Es ist wichtig, dass Entwickler und Unternehmen diese Sicherheitsempfehlungen ernst nehmen und in ihre Softwareentwicklung integrieren, um Schwachstellen zu vermeiden und die Sicherheit der Nutzer zu gew\u00e4hrleisten.<\/p>\n
Schlagw\u00f6rter: CISA + FBI + Unheil<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Sicherheitsbeh\u00f6rden CISA (Cybersecurity and Infrastructure Security Agency) und FBI (Federal Bureau of Investigation) haben k\u00fcrzlich im Zuge ihrer Secure by Design-Kampagne einen Bericht ver\u00f6ffentlicht, der auf Sicherheitsl\u00fccken in Software hinweist. Das Ziel dieser Aktion ist es, Entwickler und Unternehmen \u00fcber diese Schwachstellen aufzukl\u00e4ren und M\u00f6glichkeiten zur Vermeidung aufzuzeigen. In...<\/p>\n","protected":false},"author":4,"featured_media":9414,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9415","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9415","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=9415"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9415\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/9414"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=9415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=9415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=9415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}