美國CISA、FBI 警告操作系統命令注入漏洞

日期:2024-07-17 17:54:35
如果您有任何僱傭駭客之需求可以聯絡我們協助您 Telegram:@hack_69

美国的網路安全及基礎設施安全局(CISA)與聯邦調查局(FBI)共同發佈了一份重要警示,提醒軟體開發者特別注意修補那些允許未經授權用戶在作業系統(OS)上執行惡意指令的弱點。

這份名為「安全設計警示」的公告指出,雖然操作系統命令注入漏洞是可以預防的,但它們仍然持續出現。最近引發廣泛關注的活動利用了網路邊緣設備中的操作系統命令注入缺陷。思科最近就修補了其NX-OS軟體中的命令行注入漏洞。這個CVE-2024-20399漏洞允許經過身份驗證的攻擊者執行任意指令,並已被中國支持的威脅組織Velvet Ant利用。

當軟體無法正確驗證和審查用戶輸入時,就可能出現操作系統命令注入漏洞。這可能導致系統被接管、未經授權的程式碼執行以及敏感資料外洩。CISA與FBI敦促技術製造商從源頭上消除這些漏洞,採用更安全的設計方法。

在警示中,CISA與FBI呼籲企業領袖在產品開發過程中優先考量安全性,將OPSEC原則融入其中。建議採取多項措施,包括使用更安全的命令生成函數、審查威脅模型、選用現代化元件庫、進行全面的程式碼審查,以及在整個開發週期中實施積極的防禦性產品測試。


如果您有駭客技術需求, 69駭客脈動基地(https://69hack.com)可以提供相关的专业服务,客戶服務專員:telegram:@hack_69


駭客服務網站 69hack.com