FBI و CISA به توسعه دهندگان می گویند که قبل از انتشار، مسائل امنیتی را کنترل کنند

شناسهٔ خبر: 468988 - تاریخ: مه 3, 2024

انگشتان یک فرد روی یک صفحه کلید تایپ می کنند، با یک صفحه امنیتی دیجیتال <a href=

(اعتبار تصویر: Shutterstock / Thapana_Studio)

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و اداره تحقیقات فدرال (FBI) در اوایل این هفته هشدار امنیتی مشترک جدیدی را منتشر کردند و از توسعه دهندگان نرم افزار خواستند هنگام توسعه محصولات نرم افزاری، مسیرهای عبور را در نظر داشته باشند.

Path traversal یک آسیب‌پذیری نرم‌افزاری است که با نام پیمایش دایرکتوری یا دایرکتوری صعود نیز شناخته می‌شود. با سوء استفاده از این نقص، عوامل تهدید می توانند به فایل ها و دایرکتوری های حساس دسترسی پیدا کنند. این حفره معمولاً در برنامه‌های کاربردی وب یا سیستم‌هایی ایجاد می‌شود که به صورت پویا مسیرهای فایل را بر اساس ورودی کاربر می‌سازند بدون اینکه به درستی آن را تأیید یا پاکسازی کنند.

طبق گفته این دو آژانس، پیمایش مسیر یک "کلاس دائمی از نقص در محصولات نرم افزاری" است، علیرغم اینکه به خوبی مستند شده و رویکردهای حذف موثر در مقیاس برای بیش از دو دهه دارد.

خواستار اقدام

در این هشدار آمده است: «تولیدکنندگان نرم‌افزار با توسعه محصولاتی که امکان بهره‌برداری از پیمایش دایرکتوری را فراهم می‌کنند، همچنان مشتریان را در معرض خطر قرار می‌دهند.» و اضافه می‌کند که عوامل تهدید دائماً از پیمایش مسیر برای هدف قرار دادن بخش‌های بهداشت و درمان و سلامت عمومی سوء استفاده می‌کنند.

دیگر اخبار

چری فالوین E06 برای رقابت با خودروهای بی‌وای‌دی آماده می‌شود

در حال حاضر، CISA دارای 55 آسیب‌پذیری پیمایش مسیر است که در فهرست آسیب‌پذیری‌های شناخته شده (KEV) فهرست شده‌اند، که نشانه‌ای از سوء استفاده در طبیعت است.

در ادامه هشدار آمده است: «رویکردهایی برای جلوگیری از آسیب‌پذیری‌های پیمایش دایرکتوری شناخته شده‌اند، با این حال عوامل تهدید همچنان از این آسیب‌پذیری‌ها سوءاستفاده می‌کنند که بر عملکرد خدمات حیاتی، از جمله عملیات بیمارستان و مدرسه تأثیر گذاشته است».

CISA و FBI از مدیران سازنده نرم‌افزار می‌خواهند که سازمان‌های خود را ملزم به انجام آزمایش‌های رسمی (به راهنمای آزمایش OWASP مراجعه کنید) برای تعیین حساسیت محصولات خود به آسیب‌پذیری‌های پیمایش دایرکتوری می‌خواهند.

این دو آژانس همچنین از همه کاربران نرم‌افزار می‌خواهند که از شرکای خود سؤال کنند، اگر آزمایش پیمایش دایرکتوری رسمی انجام داده‌اند یا خیر.

بیشتر بخوانید

ریدلی اسکات زندگی گروه بیجیز را فیلم می‌کند

«اگر تولیدکنندگان متوجه شوند که سیستم‌هایشان فاقد اقدامات کاهشی مناسب است، باید اطمینان حاصل کنند که توسعه‌دهندگان نرم‌افزار آنها فوراً اقدامات کاهشی را برای از بین بردن کل این دسته از نقص از همه محصولات اجرا می‌کنند. ایجاد امنیت در محصولات از ابتدا می‌تواند آسیب‌پذیری‌های پیمایش دایرکتوری را از بین ببرد.» این دو نتیجه گرفتند.

بیشتر از TechRadar Pro

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو