CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design

CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities

2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。


これらの脆弱性の悪用に成功した未認証の脅威アクターたちは、ネットワーク・エッジ・デバイス上でリモートからのコード実行を可能にしていた:

OS コマンド・インジェクションの脆弱性は、完全に防止できるものである。つまり、ソフトウェア・メーカーが OS 上で実行するコマンドを作成する際の、ユーザー入力に対する適切な検証/サニタイズの欠如により発生するものである。

CISA は、「適切な検証やサニタイズが欠落した状態で、ユーザー入力を信頼してソフトウェアを設計/開発することで、脅威アクターたちに悪意のコマンドを実行させ機会を与え、顧客を危険にさらす可能性を生じている」と警告している。

撲滅に向けたロードマップの構築

CISAと FBI は、OS コマンド・インジェクションの脆弱性に関する過去の事例を分析し、将来的に排除するための計画を策定するよう、テクノロジー・メーカーに対して促している。

両機関は、「これらのセキュリティ問題は、ソフトウェアの設計段階から組み込まれるべきであり、開発/リリース/アップデートを通じて継続されるべきである。この種の脆弱性は、ユーザー入力をコマンドの内容から明確に分離することで防げる」と指摘している。

重点的に取り組むべきアクションは以下の通りである:

  • 汎用システム・コマンドに入力される、生の文字列を構築する代わりに、コマンドと引数を分離する組み込みライブラリ関数を使用する。
  • 入力パラメータ化を使用して、コマンドからデータを分離する。
  • ユーザー入力により構築されるコマンドの部分を、必要なものだけに限定する。
Security by Design 原則の採用

この新しい勧告は、米国政府が推進する Security by Design の推進の一環であり、より大きなサイバー・セキュリティの負担を製造者に課すものである。この試みは、2023年3月に発表された、US National Cybersecurity Strategy で打ち出されている。

この戦略に沿って、CISA は Security by Design イニシアチブを立ち上げ、150社以上のメーカーが Secure by Design 誓約書に署名した。この誓約書には、製品の脆弱性の開示に関する透明性の強化や、脆弱性のクラス全体の削減などが含まれる。

CISA の Senior Technical Advisor である Jack Cable は、Secure by Design イニシアチブについて、サイバー・セキュリティの負担を、最も能力の低いエンドユーザーから、最も負担能力の高いエンドユーザーへと移すことを目的としていると述べている。

Jack Cable は、「Secure by Design イニシアチブの焦点は、私たちが使用する大半のデジタル・システムや重要インフラを支える製品を製造する、テクノロジー・メーカーにある。私たちは、それらのシステムに信じられないほど依存しているが、私たちが何度も何度も目にしてきたのは、これらの製品には基本的に予防できるクラスの脆弱性があり、それが危害につながるということだ。私たちの Secure by Design イニシアチブの目標は、技術メーカーと協力して、最初から安全な製品を、つまり、それらの脆弱性に強い製品を作る、手助けをすることにある」と、InfoSecurity の取材に対して説明している。

それらの脆弱性を排除のための最終的なロードマップを、ソフトウェア・メーカーたちが作成する前に、まずアセスメントを実施し、自社製品で最も緊急かつ対処可能な脆弱性クラスが何であるかを理解するよう、Jack Cable はアドバイスしているという。

そうすることで、メモリ・セーフティな言語や、OS コマンド・インジェクションの排除といった、予防可能なクラスの脆弱性に取り組んでいける。彼は、「優先順位をつけて、OS コマンド・インジェクションの脆弱性を減らしていく方法を考えてほしい」とコメントしている。

2024年2月にホワイトハウスは、ハイテク業界に対して、Memory Safe プログラミング言語を採用し、メモリの安全性に関わる脆弱性を排除するよう求めている。

すでに CISA は、メモリ破壊を起こさないプログラミング言語の利用を、Security by Design の一部として推奨しています。そして今回は、ソフトウェア・ベンダーに対して、OS コマンド・インジェクションを抑制するための措置を要請しました。ここを、こう直せば、このあたりの問題が解決するはずという、どちらかというと個別的な対応が続いていますが、そちらのほうが現実的だと感じます。よろしければ、CISA KEV ページも、ご利用ください。