CISA

CISA と FBI は、技術製造企業に対し、出荷前に自社のソフトウェアを見直し、今後のリリースにクロスサイト・スクリプティングの脆弱性がないことを確認するよう促しました。

両連邦機関によると、XSS脆弱性は現在もリリースされているソフトウェアを悩ませており、予防可能でソフトウェア製品に存在すべきではないにもかかわらず、脅威行為者にさらなる悪用の機会を作り出しているという。

サイバーセキュリティ機関はまた、テクノロジー製造企業の幹部に対し、XSSの欠陥を完全に排除できるような緩和策やセキュア・バイ・デザイン・アプローチを導入するため、組織のソフトウェアの正式なレビューを行うよう促した。

「クロスサイト・スクリプティングの脆弱性は、製造業者が入力の適切な検証、サニタイズ、エスケープに失敗した場合に生じます。このような不具合により、脅威者は悪意のあるスクリプトをウェブ・アプリケーションに注入し、それを悪用して異なるコンテキスト間でデータを操作、窃盗、悪用することができます。

「一部の開発者は、XSS脆弱性を防ぐために入力サニタイズ技術を採用していますが、このアプローチは万全ではなく、追加のセキュリティ対策で強化する必要があります。

今後リリースされるソフトウェアでこのような脆弱性を防ぐために、CISAとFBIは技術リーダーに対し、脅威モデルを見直し、ソフトウェアが入力の構造と意味の両方を検証するように助言した。

また、適切なエスケープや引用を行うために、出力エンコード機能を組み込んだ最新のウェブ・フレームワークを使用すべきである。また、コードのセキュリティと品質を維持するために、開発ライフサイクル全体を通じて、詳細なコードレビューと敵対的テストを実施することも推奨されています。

CISA XSS tweet

XSS脆弱性は、MITREが2021年から2022年にかけてソフトウェアを悩ます最も危険なソフトウェアの弱点トップ25において、境界外書き込みのセキュリティ欠陥に次いで 第2位となった

これは、CISAのSecure by Designアラート・シリーズの7回目のアラートで、広く知られ、文書化されている脆弱性のうち、利用可能で効果的な緩和策があるにもかかわらず、ソフトウェア製品からいまだに除去されていない脆弱性の蔓延を強調するように設計されています。

これらのアラートの中には、脅威行為者の活動に対応して発表されたものもあります。例えば、7月に発表されたアラートでは、CiscoPalo AltoIvantiのネットワーク・エッジ・デバイスをハッキングする最近の攻撃で、中国国家に支援されたVelvet Ant脅威グループが悪用したパスOSコマンド・インジェクションの脆弱性を排除するようソフトウェア企業に求めています。

5月と3月には、さらに2つの「セキュア・バイ・デザイン(Secure by Design)」警告を発し、ソフトウェア開発者と技術幹部に対し、パス・トラバーサルと SQLインジェクション(SQLi)のセキュリティ脆弱性を防止するよう促した。

CISAはまた、小規模オフィス/ホームオフィス(SOHO)ルーターの製造業者に対し、ボルト・タイフーン攻撃に対するデバイスの安全性を確保するよう、また技術ベンダーに対し、デフォルトのパスワードが設定されたソフトウェアやデバイスの出荷を停止するよう促した。