CISA敦促开发者消除操作系统命令注入漏洞

网络安全和基础设施安全局(CISA)与美国联邦调查局(FBI)发布联合公告,敦促软件开发商在其产品发货前消除操作系统命令注入漏洞。最近,网络攻击利用这些安全漏洞(CVE-2024-20399、CVE-2024-3400 和 CVE-2024-21887)渗透了Cisco、Palo Alto和Ivanti的网络边缘设备。

这些攻击被认为是中国国家支持的威胁行为者Velvet Ant所为,作为更广泛的网络间谍活动的一部分,Velvet Ant部署了定制恶意软件,以维持被入侵设备的持久性。该公告强调了验证和净化用户输入以防止操作系统命令注入漏洞的重要性,当软件不恰当地构建命令以在底层操作系统上执行时,就会出现操作系统命令注入漏洞。

来源:来源