Исправляйте до релиза: Path Traversal – главный враг разработчиков

CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути (path traversal) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически важные файлы, что нарушает механизмы аутентификации и приводит к удаленному выполнению кода.

Ведомства подчеркивают, что подобные действия становятся возможными из-за недостаточной защиты со стороны производителей технологий, которые не рассматривают данные, предоставляемые пользователями, как потенциально вредоносные. Указанные уязвимости могут дать хакерам доступ к конфиденциальной информации, в том числе к учетным данным, что впоследствии используется для брутфорс-атак.

Проблема усугубляется тем, что такие уязвимости уже много лет известны как «непростительные», но несмотря на это, они все еще широко распространены, что подтверждается исследованиями классов уязвимостей CWE-22 и CWE-23.

ФБР и CISA рекомендовали разработчикам принять проверенные меры предосторожности, включая:

• генерацию случайного идентификатора для каждого файла с хранением связанных метаданных отдельно от имени файла;
• ограничение типов символов, которые могут быть использованы в именах файлов;
• обеспечение того, чтобы загружаемые файлы не имели прав на выполнение.

Поводом для данного предупреждения стали недавние атаки на критически важную инфраструктуру, в том числе в секторах здравоохранения и общественного здоровья, где злоумышленники использовали уязвимости перехода по каталогам для реализации своих кампаний. Например, в атаках с использованием уязвимости ScreenConnect CVE-2024-1708.

Уязвимости перехода по каталогам заняли 8 место в рейтинге 25 наиболее опасных программных уязвимостей по версии MITRE, уступая таким угрозам, как выход за пределы массива (out-of-bounds), межсайтовый скриптинг (cross-site scripting, XSS) и SQL-инъекции.