政府機関が安全なソフトウェアを購入するのを支援することに特化したサイバーセキュリティ・インフラセキュリティ庁(CISA)のツールに、皮肉にもサイバーセキュリティ上の脆弱性があることが判明した。
Open Worldwide Application Security Project(OWASP)の元リーダーであるジェフ・ウィリアムズ氏はCyberScoopに対し、CISAの「Software Acquisition Guide: Supplier Response Web Tool」でクロスサイトスクリプティング(XSS)の脆弱性を発見し、9月にCISAへ報告したところ、最終的に12月に修正されたと語った。
同氏によれば、この脆弱性は攻撃者がWebページにJavaScriptを注入し、そのJavaScriptによって同じページの他の利用者を攻撃できるというものだ。また、Webサイトの改ざんにも悪用され得たという。
アプリケーションセキュリティ企業Contrast Securityの共同創業者兼最高技術責任者(CTO)でもあるウィリアムズ氏は、最初に試した攻撃で見つかったのだから、CISA内の誰かがこの脆弱性に気づくのは容易だったはずだと述べた。
「安全なソフトウェア開発を推進しておきながら、考え得る最も基本的なテストすらしていないのは、少し偽善的だと思った」と同氏は語った。
ウィリアムズ氏が最初にバグバウンティプログラムを通じて欠陥を報告した際、重大性が十分ではないとして却下されたが、その後、CISAのVulnerability Information and Coordination Environmentプログラムを通じてこの欠陥への注目を集めることができた。政府機関の閉鎖が修正の遅れに影響したものの、ウィリアムズ氏は「作業はたった5分で済むはずだった」と述べた。
ウィリアムズ氏は、自身が見つけたものより深刻なバグは存在するとしつつも、「顧客の中には、この脆弱性を極めて深刻に扱うところもある。なぜなら、評判を最も重要な資産の一つだと考えているからだ」と語った。
サイバーセキュリティの伝道者としてのCISAの役割も、サイバー攻撃への耐性を保証するものではない。特に同庁は2024年、議会への通知を引き起こした侵害を特定した。
CISAの最高情報責任者(CIO)であるロバート・コステロ氏は、潜在的な脆弱性に関する通知を受けて、同庁が対応を行ったと述べた。
「手順に従い、当該脆弱性に対処してパッチを適用し、重大なリスクや既知の悪用がないことを確認した」とコステロ氏はCyberScoopへの声明で述べた。「さらに、当庁のチームは、今後当庁に報告される脆弱性に備えたプロセス改善点を特定した。CVE(Common Vulnerabilities and Exposures)プログラムの推進者として、CISAは標準的な協調的開示プロセスに従い、脆弱性を文書化するCVEを作成した。CISAは、このセキュリティ研究者から提供された報告に感謝する。これは、運用上の協力が実際に機能していることを示す、もう一つの例である」
翻訳元: https://cyberscoop.com/cisa-secure-software-buying-tool-had-a-simple-xss-vulnerability-of-its-own/
