​CISA et le FBI ont exhorté les entreprises de fabrication de technologies à revoir leurs logiciels et à s’assurer que les futures versions sont exemptes de vulnérabilités de script intersite avant l’expédition.

Les deux agences fédérales ont déclaré que les vulnérabilités XSS affectent toujours les logiciels publiés aujourd’hui, créant de nouvelles opportunités d’exploitation pour les auteurs de menaces, même si elles sont évitables et ne devraient pas être présentes dans les produits logiciels.

L’agence de cybersécurité a également exhorté les dirigeants des entreprises de fabrication de technologies à procéder à des examens formels des logiciels de leur organisation afin de mettre en œuvre des mesures d’atténuation et une approche sécurisée dès la conception qui pourrait éliminer complètement les failles XSS.

« Les vulnérabilités de script intersite surviennent lorsque les fabricants ne parviennent pas à valider, désinfecter ou échapper correctement les entrées. Ces défaillances permettent aux acteurs de la menace d’injecter des scripts malveillants dans des applications Web, en les exploitant pour manipuler, voler ou abuser des données dans différents contextes », indique l’alerte conjointe d’aujourd’hui.

« Bien que certains développeurs utilisent des techniques de nettoyage des entrées pour prévenir les vulnérabilités XSS, cette approche n’est pas infaillible et devrait être renforcée par des mesures de sécurité supplémentaires. »

Pour éviter de telles vulnérabilités dans les futures versions logicielles, la CISA et le FBI ont conseillé aux responsables techniques d’examiner les modèles de menace et de s’assurer que le logiciel valide les entrées pour la structure et la signification.

Ils doivent également utiliser des frameworks Web modernes avec des fonctions d’encodage de sortie intégrées pour un échappement ou une citation appropriés. Pour maintenir la sécurité et la qualité du code, des revues de code détaillées et des tests contradictoires tout au long du cycle de vie du développement sont également conseillés.

​Les vulnérabilités XSS ont pris la deuxième place dans le top 25 des faiblesses logicielles les plus dangereuses affectant les logiciels de MITRE entre 2021 et 2022, dépassées uniquement par les failles de sécurité d’écriture hors limites.

Il s’agit de la septième alerte de la série d’alertes sécurisées par conception de CISA, conçue pour mettre en évidence la prévalence de vulnérabilités largement connues et documentées qui n’ont pas encore été éliminées des produits logiciels malgré les mesures d’atténuation disponibles et efficaces.

Certaines de ces alertes ont été publiées en réponse à l’activité des acteurs de la menace, comme une alerte demandant aux éditeurs de logiciels en juillet d’éliminer les vulnérabilités d’injection de commandes path OS exploitées par le groupe de menaces Velvet Ant parrainé par l’État chinois lors d’attaques récentes visant à pirater Cisco, Palo Alto et Ivanti périphériques périphériques réseau.

En mai et mars, deux autres alertes « Sécurisées dès la conception » ont exhorté les développeurs de logiciels et les responsables techniques à prévenir les vulnérabilités de sécurité de traversée de chemin et d’injection SQL (SQLi).

CISA a également exhorté les fabricants de routeurs SOHO (small office/home office) à sécuriser leurs appareils contre les attaques Volt Typhoon et les fournisseurs de technologies à cesser d’expédier des logiciels et des appareils avec des mots de passe par défaut.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *