CISA Secure by Design riasztás – directory traversal
Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a Szövetségi Nyomozó Iroda (FBI) 2024. május 2-án közös Secure by Design figyelmeztetést adott ki, melynek címe: Eliminating Directory Traversal Vulnerabilities in Software. Ez a figyelmeztetés a közelmúltban nyilvánosságra hozott rosszindulatú kibertevékenységekre válaszul készült, amelyek a szoftverekben található directory traversal sérülékenységeket (pl. CVE-2024-1708, CVE-2024-20345) használták ki, ami a kritikus infrastruktúra-ágazatokat, köztük az egészségügyi és a közegészségügyi ágazatot is érintette. Ezen túlmenően ez a riasztás rávilágít a directory traversal hibák elterjedtségére és folyamatos veszélyeztetettségére.
A CISA jelenleg 55 directory traversal sérülékenységet sorolt fel a KEV-ben (Known Exploited Vulnerabilities). A directory traversal sérlékenységek elkerülésére szolgáló módszerek ismertek, a fenyegető szereplők azonban továbbra is kihasználják ezeket a hibákat, amelyek hatással vannak a kritikus szolgáltatások, köztük a kórházak és iskolák működésére. A CISA és az FBI sürgeti a szoftvergyártók vezetőit, hogy követeljék meg a szervezetüktől, hogy végezzenek hivatalos tesztelést annak megállapítására, hogy termékeik mennyire érzékenyek a directory traversal sérülékenységekre.
További útmutatás a témában az OWASP oldalán is olvasható.
