CISA y el FBI han instado a los fabricantes de tecnología a revisar su software y asegurarse de que las versiones futuras estén libres de vulnerabilidades de secuencias de comandos entre sitios antes de su envío.
Ambas agencias federales dijeron que las vulnerabilidades XSS todavía afectan el software lanzado hoy, creando nuevas oportunidades de explotación para los actores de amenazas, aunque se pueden prevenir y no deberían estar presentes en los productos de software.
La agencia de ciberseguridad también instó a los ejecutivos de las empresas de fabricación de tecnología a solicitar revisiones formales del software de sus organizaciones para implementar mitigaciones y un enfoque seguro por diseño que podría eliminar por completo las vulnerabilidades XSS.
“Las vulnerabilidades de secuencias de comandos entre sitios ocurren cuando los fabricantes no validan, desinfectan o escapan adecuadamente las entradas. Estos fallos permiten a actores maliciosos inyectar scripts maliciosos en aplicaciones web, explotándolos para manipular, robar o hacer mal uso de datos en diferentes contextos”, se lee en la alerta conjunta de hoy.
“Aunque algunos desarrolladores utilizan técnicas de desinfección de entradas para prevenir vulnerabilidades XSS, este enfoque no es infalible y debería reforzarse con medidas de seguridad adicionales. »
Para evitar este tipo de vulnerabilidades en futuras versiones de software, CISA y el FBI han aconsejado a los gerentes técnicos que revisen los modelos de amenazas y se aseguren de que el software valide las entradas tanto en estructura como en significado.
También deberían utilizar marcos web modernos con funciones de codificación de salida integradas para escapar o citar correctamente. Para mantener la seguridad y la calidad del código, también se recomiendan revisiones detalladas del código y pruebas adversas durante todo el ciclo de desarrollo.
Las vulnerabilidades XSS ocupan el segundo lugar entre las 25 debilidades de software más peligrosas de MITRE entre 2021 y 2022, superadas solo por las vulnerabilidades de seguridad de escritura fuera de límites.
Esta es la séptima alerta de la serie de alertas Secure by Design de CISA, diseñada para resaltar la prevalencia de vulnerabilidades ampliamente conocidas y documentadas que aún no se han eliminado de los productos de software a pesar de las medidas de mitigación efectivas y disponibles.
Algunas de estas alertas se emitieron en respuesta a la actividad de actores maliciosos, como una alerta en julio que pedía a las empresas de software que eliminaran las vulnerabilidades de inyección de comandos de Path OS explotadas por el grupo de amenazas Velvet Ant, patrocinado por el estado chino, en ataques recientes destinados a piratear Cisco. , Dispositivos de red Palo Alto e Ivanti.
En mayo y marzo, otras dos alertas de Secure by Design instaron a los desarrolladores de software y líderes técnicos a prevenir vulnerabilidades de seguridad relacionadas con el recorrido de rutas y la inyección SQL (SQLi).
CISA también instó a los fabricantes de enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) a proteger sus dispositivos contra los ataques Volt Typhoon y a los proveedores de tecnología a dejar de enviar software y dispositivos con contraseñas predeterminadas.