CISA และ FBI เผยแพร่ Secure by Design Alert เพื่อแก้ไขช่องโหว่ใน OS
-
CISA และ FBI ได้เผยแพร่ช่องโหว่ Secure by Design Alert ล่าสุดมีรายละเอียดคือ Eliminating OS Command Injection Vulnerabilities เพื่อตอบสนองต่อแคมเปญที่เป็นภัยคุกคามที่ได้รับการเผยแพร่อย่างกว้างขวางซึ่งมีการใช้ประโยชน์จากข้อบกพร่องในใช้คำสั่ง OS ในอุปกรณ์ Edge บนเครือข่าย (CVE-2024-20399, CVE- 2024-3400, CVE-2024-21887) เพื่อกำหนดเป้าหมายและโจมตีผู้โดย มีการใช้ช่องโหว่เหล่านี้ทำให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับการรับรองความถูกต้องสามารถรันโค้ดจากอุปกรณ์ในระยะไกลบนเครือข่ายได้
ช่องโหว่ดังกล่าวมีการใช้คำสั่ง OS ที่สามารถป้องกันได้ด้วยการแยก output ของผู้ใช้ออกจากเนื้อหาของคำสั่งwfhอย่างชัดเจน ถึงแม๋จะมีการตรวจพบช่องโหว่ของการใช้คำสั่ง OS ซึ่งส่วนใหญ่เป็นผลมาจาก CWE-78 และยังคงเป็นช่องโหว่ระดับที่มีแพร่หลาย
CISA และ FBI จึงมีการผยแพร่ข้องมูลดังกล่าวไปยังผู้บริหารในองค์กร ของผู้ผลิตเทคโนโลยีขอให้ผู้นำด้านเทคนิควิเคราะห์เหตุการณ์ในช่องโหว่ที่เกิดขึ้นประเภทนี้ พร้อมแผนการรับมือการแก้ไขช่องโหว่เหล่านี้ในอนาคต
หาต้องการติดตามข้อมูลหรือรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Secure by Design สามารถติดตามรายละเอียดได้ที่ https://www.cisa.gov/resources-tools/resources/secure-design-alert-eliminating-os-command-injection-vulnerabilities
