04.05.2024 | Исправляйте до релиза: Path Traversal – главный враг разработчиков |
CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути ( path traversal ) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически важные файлы, что нарушает механизмы аутентификации и приводит к удаленному выполнению кода. Ведомства подчеркивают, что подобные действия становятся возможными из-за недостаточной защиты со стороны производителей технологий, которые не рассматривают данные, предоставляемые пользователями, как потенциально вредоносные. Указанные уязвимости могут дать хакерам доступ к конфиденциальной информации, в том числе к учетным данным, что впоследствии используется для брутфорс -атак. Проблема усугубляется тем, что такие уязвимости уже много лет известны как «непростительные», но несмотря на это, они все еще широко распространены, что подтверждается исследованиями классов уязвимостей CWE-22 и CWE-23. ФБР и CISA рекомендовали разработчикам принять проверенные меры предосторожности, включая:
Поводом для данного предупреждения стали недавние атаки на критически важную инфраструктуру, в том числе в секторах здравоохранения и общественного здоровья, где злоумышленники использовали уязвимости перехода по каталогам для реализации своих кампаний. Например, в атаках с использованием уязвимости ScreenConnect CVE-2024-1708. Уязвимости перехода по каталогам заняли 8 место в рейтинге 25 наиболее опасных программных уязвимостей по версии MITRE, уступая таким угрозам, как выход за пределы массива ( out-of-bounds ), межсайтовый скриптинг (cross-site scripting, XSS ) и SQL-инъекции. |
Проверить безопасность сайта