美国网络安全机构 CISA 和 FBI 周四发布了安全设计警报,警告路径遍历软件漏洞被利用来针对关键基础设施实体进行攻击。
路径遍历缺陷也称为目录遍历,它依赖于受操纵的用户输入来访问不应访问的应用程序文件和目录。成功利用该漏洞允许威胁行为者操纵任意文件、读取敏感数据,并可能完全破坏系统。
路径遍历缺陷已被记录了二十多年,并在 2007 年被认为是“不可原谅的”,它仍然是软件中的一类持续存在的错误,最近至少有两个问题被利用针对关键基础设施部门,包括医疗保健和公共卫生组织。
|
路径遍历攻击(也称为目录遍历)旨在访问存储在 Web 根文件夹之外的文件和目录。通过操作引用具有“点-点-斜杠(../)”序列及其变体的文件的变量或使用绝对文件路径,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码或配置和关键系统文件。应该注意的是,对文件的访问受到系统操作访问控制的限制(例如在 Microsoft Windows 操作系统上锁定或正在使用的文件的情况)。 这种攻击也称为“点-点-斜杠”、“目录遍历”、“目录攀爬”和“回溯”。 相关安全活动如何避免路径遍历漏洞除了最简单的 Web 应用程序之外,所有应用程序都必须包含本地资源,例如图像、主题、其他脚本等。每次应用程序包含资源或文件时,攻击者都可能存在包含您未授权的文件或远程资源的风险。 如何识别您是否容易受到伤害
如何保护自己
|
针对影响 ConnectWise ScreenConnect ( CVE-2024-1708 ) 和 Cisco AppDynamics Controller ( CVE-2024-20345 ) 的两个漏洞的利用,CISA 和 FBI敦促各组织(PDF) 确保其软件开发人员消除此漏洞安全缺陷类别。
CISA 目前在其已知利用漏洞 (KEV) 目录中列出了 55 个路径遍历缺陷。
这两个美国政府机构强调,设计安全的软件开发生命周期是消除安全漏洞(包括路径遍历缺陷)的基础,因为产品的构建方式可以合理地保护它们免受错误利用。
CISA 和 FBI 指出:“从设计阶段开始,一直到产品发布和更新,从一开始就纳入这种风险缓解措施,既可以减轻客户的网络安全负担,也可以减轻公众的风险。”
众所周知且有效的缓解措施包括对文件使用随机标识符并单独存储元数据,或者限制文件名中的字符数并确保上传的文件没有执行权限。
OWASP关于路径遍历缺陷的指南包括建议软件制造商和云服务运营商审查和实施的其他缓解措施。
此外,建议组织测试产品是否存在路径遍历错误,并遵守2023 年 10 月发布的 安全设计指南中详细介绍的三项原则,保护自己免受此类漏洞的利用。
两家机构表示,通过全面实施推荐的安全设计原则和实践,软件制造商可以保护其客户免受各种恶意攻击。
CISA 和 FBI 指出:“此外,CISA 和 FBI 敦促制造商发布自己的安全设计路线图,以证明他们不仅仅是实施战术控制,而是从战略上重新考虑他们在保护客户安全方面的责任。”
原文始发于微信公众号(河南等级保护测评):CISA、FBI要求消除路径遍历漏洞影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论