TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: Velvet Ant > CISA urges devs to weed out OS command injection vulnerabilities

CISA urges devs to weed out OS command injection vulnerabilities

攻撃組織: Velvet Ant 攻撃手法: OSコマンドインジェクション

【訳】

CISA、OSコマンド・インジェクションの脆弱性を排除するよう開発者に要請


【要約】

CISAとFBIは、ソフトウェア開発者に対し、出荷前に製品を見直し、OSコマンドインジェクション脆弱性を排除するよう求めています。これは、中国のハッカー集団Velvet Antが、Cisco、Palo Alto、Ivantiのネットワークデバイスを侵害し、カスタムマルウェアを展開した最近の攻撃を受けた措置です。CISAは、ユーザー入力の適切な検証とサニタイズの重要性を強調し、コマンドと引数の分離や入力パラメタリゼーションなどの緩和策を導入するよう助言しています。ソフトウェア開発ライフサイクル全体でコードの品質とセキュリティを確保するための包括的な対策も推奨されています。


【ニュース】

◆CISA urges devs to weed out OS command injection vulnerabilities (BleepingComputer, 2024/07/10 14:02)
[CISA、OSコマンド・インジェクションの脆弱性を排除するよう開発者に要請]
https://www.bleepingcomputer.com/news/security/cisa-urges-devs-to-weed-out-os-command-injection-vulnerabilities/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023