که یک قفل روی آن پوشانده شده آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و اداره تحقیقات فدرال (FBI) در اوایل این هفته هشدار امنیتی مشترک جدیدی را منتشر کردند و از توسعه دهندگان نرم افزار خواستند هنگام توسعه محصولات نرم افزاری، مسیرهای عبور را در نظر داشته باشند.
Path traversal یک آسیبپذیری نرمافزاری است که با نام پیمایش دایرکتوری یا دایرکتوری صعود نیز شناخته میشود. با سوء استفاده از این نقص، عوامل تهدید می توانند به فایل ها و دایرکتوری های حساس دسترسی پیدا کنند. این حفره معمولاً در برنامههای کاربردی وب یا سیستمهایی ایجاد میشود که به صورت پویا مسیرهای فایل را بر اساس ورودی کاربر میسازند بدون اینکه به درستی آن را تأیید یا پاکسازی کنند.
طبق گفته این دو آژانس، پیمایش مسیر یک "کلاس دائمی از نقص در محصولات نرم افزاری" است، علیرغم اینکه به خوبی مستند شده و رویکردهای حذف موثر در مقیاس برای بیش از دو دهه دارد.
خواستار اقدام
در این هشدار آمده است: «تولیدکنندگان نرمافزار با توسعه محصولاتی که امکان بهرهبرداری از پیمایش دایرکتوری را فراهم میکنند، همچنان مشتریان را در معرض خطر قرار میدهند.» و اضافه میکند که عوامل تهدید دائماً از پیمایش مسیر برای هدف قرار دادن بخشهای بهداشت و درمان و سلامت عمومی سوء استفاده میکنند.
در حال حاضر، CISA دارای 55 آسیبپذیری پیمایش مسیر است که در فهرست آسیبپذیریهای شناخته شده (KEV) فهرست شدهاند، که نشانهای از سوء استفاده در طبیعت است.
در ادامه هشدار آمده است: «رویکردهایی برای جلوگیری از آسیبپذیریهای پیمایش دایرکتوری شناخته شدهاند، با این حال عوامل تهدید همچنان از این آسیبپذیریها سوءاستفاده میکنند که بر عملکرد خدمات حیاتی، از جمله عملیات بیمارستان و مدرسه تأثیر گذاشته است».
CISA و FBI از مدیران سازنده نرمافزار میخواهند که سازمانهای خود را ملزم به انجام آزمایشهای رسمی (به راهنمای آزمایش OWASP مراجعه کنید) برای تعیین حساسیت محصولات خود به آسیبپذیریهای پیمایش دایرکتوری میخواهند.
این دو آژانس همچنین از همه کاربران نرمافزار میخواهند که از شرکای خود سؤال کنند، اگر آزمایش پیمایش دایرکتوری رسمی انجام دادهاند یا خیر.
«اگر تولیدکنندگان متوجه شوند که سیستمهایشان فاقد اقدامات کاهشی مناسب است، باید اطمینان حاصل کنند که توسعهدهندگان نرمافزار آنها فوراً اقدامات کاهشی را برای از بین بردن کل این دسته از نقص از همه محصولات اجرا میکنند. ایجاد امنیت در محصولات از ابتدا میتواند آسیبپذیریهای پیمایش دایرکتوری را از بین ببرد.» این دو نتیجه گرفتند.
ارسال نظر