El gobierno de Estados Unidos ha instado a los fabricantes de software a trabajar para eliminar las vulnerabilidades de inyección de comandos del sistema operativo (SO). La alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI se emitió en respuesta a varias campañas de actores de amenazas de alto perfil en 2024 que explotaron defectos de inyección de comandos del SO en dispositivos de borde de red para comprometer a los usuarios. Estas vulnerabilidades permitieron a actores maliciosos no autenticados ejecutar código de forma remota en dispositivos de borde de la red: Los piratas informáticos estatales chinos explotaron una vulnerabilidad, CVE-2024-20399, para comprometer los conmutadores Cisco Nexus Una vulnerabilidad crítica de día cero en el software PAN-OS de Palo Alto Networks, CVE-2024-3400, que se está explotando en la naturaleza La vulnerabilidad de día cero, CVE-2024-21887, en los productos de Ivanti que fue explotada por múltiples actores de amenazas a nivel mundial Las agencias dijeron que las vulnerabilidades de inyección de comandos del sistema operativo son «totalmente prevenibles», y surgen debido a que los fabricantes de software no validan y desinfectan adecuadamente la entrada del usuario al construir comandos para ejecutar en el sistema operativo subyacente. «El diseño y desarrollo de software que confía en la entrada del usuario sin la validación o desinfección adecuadas puede permitir que los actores de amenazas ejecuten comandos maliciosos, poniendo a los clientes en riesgo», afirmó la alerta. Construyendo una hoja de ruta para la eliminación La CISA y el FBI han instado a los fabricantes de tecnología a analizar instancias pasadas de vulnerabilidades de inyección de comandos del sistema operativo y desarrollar un plan para eliminarlas en el futuro. Enfatizaron que la seguridad debe incorporarse desde la fase de diseño del software y continuar durante el desarrollo, lanzamiento y actualizaciones. Esta clase de vulnerabilidades se previenen separando claramente la entrada del usuario del contenido de un comando, señalaron las agencias. Las acciones en las que centrarse incluyen: Usar funciones de biblioteca incorporadas que separen los comandos de sus argumentos en lugar de construir cadenas sin procesar que se introducen en un comando del sistema de propósito general Usar parametrización de entrada para mantener los datos separados de los comandos; validar y desinfectar toda la entrada proporcionada por el usuario Limitar las partes de los comandos construidas por la entrada del usuario a solo lo que sea necesario Adoptar principios de seguridad por diseño El nuevo aviso es parte del enfoque del gobierno de EE. UU. en promover la seguridad del software por diseño, lo que pone una mayor carga de ciberseguridad en los fabricantes. Esta ambición se estableció en la Estrategia Nacional de Ciberseguridad de EE. UU., publicada en marzo de 2023. CISA lanzó su iniciativa Secure by Design en línea con la estrategia, y más de 150 fabricantes han firmado el compromiso Secure by Design, comprometiéndose a proporcionar públicamente actualizaciones sobre su progreso en el cumplimiento de los objetivos del compromiso. Estos incluyen mejorar la transparencia en torno a la divulgación de vulnerabilidades de productos y reducir clases enteras de vulnerabilidades. En declaraciones a Infosecurity, Jack Cable, asesor técnico sénior de CISA, dijo que la iniciativa Secure by Design tiene como objetivo trasladar la carga de la ciberseguridad de los menos capaces, los usuarios finales, a los más capaces de soportarla. «El enfoque de nuestra iniciativa Secure by Design son los fabricantes de tecnología que fabrican los productos que sustentan prácticamente todos los sistemas digitales que utilizamos y nuestra infraestructura crítica. Dependemos increíblemente de estos sistemas, pero lo que hemos visto una y otra vez es que hay clases de vulnerabilidades relativamente básicas y evitables en estos productos que provocan daños», explicó. Cable añadió: “El objetivo de nuestra iniciativa Secure by Design es trabajar con los fabricantes de tecnología para ayudarlos a crear productos que sean seguros desde el principio y resistentes a estas clases comunes de vulnerabilidades”. Antes de que los fabricantes de software busquen desarrollar una hoja de ruta para la eliminación eventual de vulnerabilidades, Cable les aconsejó que primero realicen una evaluación para comprender cuáles son las clases de vulnerabilidades más urgentes y abordables en sus productos. Solo entonces se puede lograr la eliminación de las clases de vulnerabilidades evitables, como la seguridad de la memoria y los fallos de inyección de comandos del sistema operativo. “Piense de manera prioritaria en cómo va a reducir esta clase de vulnerabilidad en su producto”, comentó. En febrero de 2024, la Casa Blanca pidió a la industria tecnológica que adoptara lenguajes de programación seguros para la memoria, eliminando la mayoría de las vulnerabilidades de seguridad de la memoria.