CISA督促软件维护人员修复路径遍历漏洞

发布于 作者:

CISA督促软件维护人员修复路径遍历漏洞

Sergiu Gatlan 代码卫士 2024-05-06 17:52

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

CISA和FBI督促软件企业审计产品并在交付前修复路径遍历漏洞。

攻击者可利用路径遍历漏洞(也被称为目录遍历漏洞)创建或覆写用于执行代码或绕过安全机制如认证的重要文件。这类安全缺陷可导致威胁行动者访问敏感数据如凭据可用于暴力破解业已存在的账户以攻陷目标系统。另外一个可能的场景是拿下或阻止对易受攻击系统的访问权限,这些系统可被覆写、删除或损坏用于认证的重要文件(从而将所有用户登出)。

CISA和FBI指出,“目录遍历利用成功的原因是技术制造商未能将用户提供的内容视作潜在的恶意内容,因此未能正确保护客户安全。路径遍历等漏洞至少从2007年开始就被称作‘不可被原谅’的漏洞,尽管如此,目录遍历漏洞(如CWE-22和CWE-23)仍然是普遍存在的漏洞。“

因近期关基攻击引发

这份联合警报是对“最近的公开威胁活动利用软件中的目录遍历漏洞(如CVE-2024-1708和CVE-2024-20345)攻陷软件用户的回应,这些攻击影响关键基础设施行业,包括医疗和公共健康行业等”。例如,ScreenConnect 中的路径遍历漏洞 CVE-2024-1708 与CVE-2024-1709组合用于 Black Basta 和 Bloody勒索攻击,推送 CobaltStrike 信标和 buhtiRansom LockBit 变体。

CISA和FBI 建议软件开发人员执行“为人熟知且有效的缓解措施“,阻止目录遍历漏洞,包括:

  • 为每份文件生成随机标识符并分开存储相关联的元数据,而不是在命名文件时使用用户输入。

  • 严格限制可在文件名称中提供的字符类型,如限制为字母数字字符。

  • 确保所上传文件没有可执行文件权限。

路径遍历漏洞在MITRE的 Top 25最危险的软件弱点中排行第8,超过界外写、XSS、SQL注入、UAF、OS命令注入和界外°漏洞。3月份,CISA和FBI发布另外一份“设计安全“警报,督促软件制造企业高管执行缓解措施,阻止SQLi漏洞。SQLi 漏洞在Top 25最危险弱点中排列第三,影响2021年至2022年的软件,仅排在界外写和XSS之后。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

今年9月底前,CISA将为联邦机构发布重要软件产品清单

CISA:Sisense事件也影响关键基础设施,或引发供应链攻击

CISA称微软 SharePoint RCE 漏洞已遭在野利用

CISA督促软件开发人员消除SQL注入漏洞

CISA提醒称 Windows 流服务漏洞已遭利用

原文链接

https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-path-traversal-vulnerabilities/

题图:
Pixabay
 License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~