ClickCease CISA y el FBI alertan sobre vulnerabilidades de inyección de comandos en sistemas operativos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

CISA y el FBI alertan sobre vulnerabilidades de inyección de comandos en sistemas operativos

por Rohan Timalsina

23 de julio de 2024 - Equipo de expertos TuxCare

CISA y el FBI emitieron un aviso crítico el 10 de julio de 2024, instando a las empresas de software a revisar sus productos y eliminar las vulnerabilidades de inyección de comandos del sistema operativo en el origen. Este llamamiento urgente se produce a raíz de los recientes ataques que han aprovechado varios fallos de inyección de comandos del sistema operativo (CVE-2024-20399, CVE-2024-3400 y CVE-2024-21887) para comprometer dispositivos de borde de red de proveedores destacados, como Cisco, Palo Alto e Ivanti.

 

¿Qué es la inyección de comandos del sistema operativo?

 

La inyección de comandos del sistema operativo es un tipo de vulnerabilidad que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo (SO) en el sistema anfitrión a través de una aplicación vulnerable. Estas vulnerabilidades se producen cuando el software no valida y desinfecta correctamente la entrada del usuario utilizada en la construcción de comandos para su ejecución en el sistema operativo subyacente. Este descuido puede permitir a los atacantes ejecutar comandos arbitrarios y potencialmente dañinos, planteando riesgos significativos para los usuarios y las organizaciones.

Como se indica en el aviso conjunto, "el diseño y desarrollo de software que confía en la entrada del usuario sin la validación o el saneamiento adecuados puede permitir a los actores de amenazas ejecutar comandos maliciosos, poniendo en peligro a los clientes."

 

Prevención y buenas prácticas

 

CISA hace hincapié en varias medidas clave para prevenir las vulnerabilidades de inyección de comandos del sistema operativo:

Utilice funciones de biblioteca incorporadas: Siempre que sea posible, los desarrolladores deben utilizar funciones de biblioteca incorporadas que separan los comandos de sus argumentos, en lugar de construir cadenas sin procesar que se introducen en comandos de sistema de uso general.

Parametrización de la entrada: Esta técnica consiste en mantener los datos separados de los comandos y garantizar que todas las entradas proporcionadas por el usuario se validan y desinfectan completamente.

Limitar la construcción de comandos: Restringe las partes de los comandos que se construyen a partir de la entrada del usuario a sólo lo necesario, minimizando el riesgo de que se ejecute una entrada maliciosa.

 

El papel de los líderes tecnológicos

 

Los responsables técnicos desempeñan un papel crucial a la hora de garantizar la seguridad del software. Deben participar activamente en el proceso de desarrollo, abogando por el uso de funciones que generen comandos de forma segura manteniendo la sintaxis y los argumentos previstos. Además, deberían:

Revisión de los modelos de amenazas: Analizar y actualizar continuamente los modelos de amenazas para reflejar las amenazas y vulnerabilidades emergentes.

Utilice bibliotecas de componentes modernas: Adopte y mantenga actualizadas las bibliotecas de componentes diseñadas pensando en la seguridad.

Realice revisiones del código: Implemente procesos rigurosos de revisión del código para identificar y corregir las deficiencias de seguridad en una fase temprana del ciclo de vida de desarrollo.

Implemente pruebas rigurosas: Garantice pruebas exhaustivas del producto para validar la seguridad y la calidad del código.

 

Reflexiones finales

 

A pesar de ser un problema bien conocido y prevenible, las vulnerabilidades de inyección de comandos del sistema operativo siguen siendo frecuentes, ocupando el quinto lugar entre las 25 debilidades de software más peligrosas de MITRE. La naturaleza persistente de estas vulnerabilidades pone de relieve la importancia de adoptar los principios de Secure by Design y medidas preventivas sólidas. En los últimos meses, CISA ha emitido múltiples alertas "Secure by Design", instando a los ejecutivos y desarrolladores de tecnología a eliminar las vulnerabilidades de path traversal e inyección SQL (SQLi).

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
CISA y el FBI alertan sobre vulnerabilidades de inyección de comandos en sistemas operativos
Nombre del artículo
CISA y el FBI alertan sobre vulnerabilidades de inyección de comandos en sistemas operativos
Descripción
CISA y el FBI advierten de vulnerabilidades de inyección de comandos en sistemas operativos. Conozca los ataques recientes y las mejores prácticas para el desarrollo seguro de software.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.