CISA dan FBI peringatkan ancaman peretas manfaatkan kerentanan OS Command Injection

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) bersama Biro Investigasi Federal (FBI) telah mengeluarkan peringatan serius mengenai peretas yang mengeksploitasi kerentanan OS command injection. Peringatan ini dikeluarkan menyusul kampanye aktor ancaman yang berhasil menargetkan dan mengkompromikan perangkat jaringan, menimbulkan risiko besar bagi pengguna dan organisasi di seluruh dunia.

Dilansir dari Cybersecurity News (13/5), kerentanan OS command injection terjadi ketika perangkat lunak gagal memvalidasi dan membersihkan input pengguna dengan benar sebelum menjalankan perintah pada sistem operasi. Akibatnya, peretas dapat menjalankan perintah tidak sah yang dapat menyebabkan kebocoran data, kompromi sistem, dan akses tidak sah.

"Kerentanan ini bukanlah hal baru, namun tetap menjadi masalah signifikan karena masih sering ditemukan pada banyak produk perangkat lunak," kata juru bicara CISA dalam pernyataannya.

Peringatan terbaru menyoroti tiga kerentanan utama yang telah dimanfaatkan oleh peretas:

• CVE-2024-20399
• CVE-2024-3400
• CVE-2024-21887

Kerentanan ini memungkinkan penyerang yang tidak terotentikasi untuk menjalankan kode pada perangkat jaringan secara jarak jauh, menunjukkan perlunya langkah keamanan yang lebih ketat.

CISA dan FBI menekankan pentingnya penerapan pendekatan "secure by design" dalam pengembangan perangkat lunak. Metodologi ini mengintegrasikan langkah-langkah keamanan sejak awal, mulai dari fase desain hingga rilis dan pembaruan.

"Dengan mengadopsi pendekatan secure by design, produsen perangkat lunak dapat mengurangi risiko kerentanan dan melindungi pengguna mereka dari eksploitasi yang berbahaya," tambah juru bicara tersebut.

Untuk menghadapi ancaman ini, CISA dan FBI mengeluarkan beberapa rekomendasi bagi produsen perangkat lunak:

1. Gunakan fungsi yang aman: Pastikan penggunaan fungsi yang dapat menghasilkan perintah dengan cara yang aman.
2. Tinjau model ancaman: Secara berkala melakukan peninjauan dan pembaruan terhadap model ancaman.
3. Gunakan pustaka modern: Memanfaatkan pustaka komponen modern yang dirancang dengan keamanan.
4. Lakukan tinjauan kode: Mengimplementasikan tinjauan kode secara mendalam untuk mengidentifikasi kerentanan.
5. Pengujian agresif: Melakukan pengujian produk secara agresif untuk memastikan kualitas dan keamanan kode.

Untuk mencegah kerentanan OS command injection, pengembang perangkat lunak disarankan mengambil langkah-langkah proaktif, seperti menggunakan fungsi pustaka bawaan yang memisahkan perintah dari argumennya, parameterisasi input, membatasi input pengguna, dan sanitasi input sebelum eksekusi.

CISA juga telah menambahkan kerentanan ini ke dalam Katalog Kerentanan yang Dieksploitasi (KEV), sumber daya yang berharga bagi organisasi untuk tetap mendapat informasi tentang ancaman saat ini dan mengambil tindakan pencegahan yang diperlukan.

CISA dan FBI menggarisbawahi tiga prinsip utama untuk melindungi produk dari eksploitasi OS command injection:

1. Ambil kepemilikan keamanan pelanggan: Produsen harus menghilangkan kerentanan ini dari produk mereka.
2. Transparansi dan akuntabilitas: Mengungkapkan kerentanan produk dengan transparan.
3. Struktur dan kepemimpinan organisasi: Prioritaskan keamanan dalam pengembangan produk dan buat investasi yang sesuai.

Produsen perangkat lunak didorong untuk mengambil Ikrar Secure by Design sebagai bukti komitmen terhadap keamanan. Inisiatif ini bertujuan untuk mengubah budaya industri dan mendorong pengembangan produk teknologi yang lebih aman.

"Dengan mengadopsi prinsip-prinsip ini, produsen tidak hanya melindungi pelanggan mereka tetapi juga berkontribusi pada ekosistem digital yang lebih aman," tutup juru bicara CISA.