CISA督促软件维护人员修复路径遍历漏洞

攻击者可利用路径遍历漏洞（也被称为目录遍历漏洞）创建或覆写用于执行代码或绕过安全机制如认证的重要文件。这类安全缺陷可导致威胁行动者访问敏感数据如凭据可用于暴力破解业已存在的账户以攻陷目标系统。另外一个可能的场景是拿下或阻止对易受攻击系统的访问权限，这些系统可被覆写、删除或损坏用于认证的重要文件（从而将所有用户登出）。

CISA和FBI指出，“目录遍历利用成功的原因是技术制造商未能将用户提供的内容视作潜在的恶意内容，因此未能正确保护客户安全。路径遍历等漏洞至少从2007年开始就被称作‘不可被原谅’的漏洞，尽管如此，目录遍历漏洞（如CWE-22和CWE-23）仍然是普遍存在的漏洞。“

这份联合警报是对“最近的公开威胁活动利用软件中的目录遍历漏洞（如CVE-2024-1708和CVE-2024-20345）攻陷软件用户的回应，这些攻击影响关键基础设施行业，包括医疗和公共健康行业等”。例如，ScreenConnect 中的路径遍历漏洞 CVE-2024-1708 与CVE-2024-1709组合用于 Black Basta 和 Bloody勒索攻击，推送 CobaltStrike 信标和 buhtiRansom LockBit 变体。

CISA和FBI 建议软件开发人员执行“为人熟知且有效的缓解措施“，阻止目录遍历漏洞，包括：

路径遍历漏洞在MITRE的 Top 25最危险的软件弱点中排行第8，超过界外写、XSS、SQL注入、UAF、OS命令注入和界外°漏洞。3月份，CISA和FBI发布另外一份“设计安全“警报，督促软件制造企业高管执行缓解措施，阻止SQLi漏洞。SQLi 漏洞在Top 25最危险弱点中排列第三，影响2021年至2022年的软件，仅排在界外写和XSS之后。