CISA призывает разработчиков программного обеспечения устранять XSS-уязвимости

CISA и ФБР призвали компании-производители технологий пересмотреть свое программное обеспечение и убедиться, что будущие версии не содержат уязвимостей межсайтового скриптинга перед отправкой.

Оба федеральных агентства заявили, что XSS-уязвимости все еще встречаются в выпускаемом сегодня программном обеспечении, создавая дополнительные возможности для эксплуатации угрозами, несмотря на то, что их можно предотвратить и они не должны присутствовать в программных продуктах.

Агентство по кибербезопасности также призвало руководителей компаний, производящих технологии, провести официальную проверку программного обеспечения своих организаций, чтобы внедрить меры по снижению рисков и подход «безопасный дизайн», который может полностью устранить XSS-уязвимости.

«Уязвимости межсайтового скриптинга возникают, когда производители не могут должным образом проверить, обеззаразить или защитить вводимые данные. Такие сбои позволяют угрозам внедрять вредоносные скрипты в веб-приложения и использовать их для манипулирования, кражи или неправомерного использования данных в различных контекстах», - говорится в сегодняшнем совместном оповещении.

«Хотя некоторые разработчики используют методы санации ввода для предотвращения XSS-уязвимостей, этот подход не является безошибочным и должен быть усилен дополнительными мерами безопасности».

Чтобы предотвратить появление подобных уязвимостей в будущих версиях программного обеспечения, CISA и ФБР советуют техническим руководителям проанализировать модели угроз и убедиться, что программное обеспечение проверяет вводимые данные как на структуру, так и на смысл.

Они также должны использовать современные веб-фреймворки со встроенными функциями кодирования вывода для правильного экранирования или цитирования. Для поддержания безопасности и качества кода рекомендуется также проводить подробные обзоры кода и тестирование на состязательность на протяжении всего жизненного цикла разработки.

XSS-уязвимости заняли второе место в рейтинге 25 самых опасных слабых мест в программном обеспечении, составленном MITRE в период с 2021 по 2022 год, опередив только дефекты безопасности, связанные с записью за пределы границ.

Это уже седьмое предупреждение из серии предупреждений CISA Secure by Design, призванной обратить внимание на распространенность широко известных и задокументированных уязвимостей, которые до сих пор не устранены в программных продуктах, несмотря на доступные и эффективные меры по их устранению.

Некоторые из этих предупреждений были выпущены в ответ на действия угрожающих субъектов, например, в июле компаниям, производящим программное обеспечение, было предложено устранить уязвимости, связанные с инъекцией команд в операционную систему path OS, которые использовались китайской государственной группой Velvet Ant в недавних атаках для взлома устройств Cisco, Palo Alto и Ivanti.

В мае и марте были опубликованы еще два предупреждения «Secure by Design», призывающие разработчиков программного обеспечения и технических руководителей предотвратить уязвимости, связанные с обходом путей и инъекциями SQL (SQLi).

CISA также призвала производителей маршрутизаторов для малых и домашних офисов (SOHO) защитить свои устройства от атак Volt Typhoon, а производителей техники - прекратить поставки программного обеспечения и устройств с паролями по умолчанию.