متن خبر

FBI و CISA به توسعه دهندگان می گویند که قبل از انتشار، مسائل امنیتی را کنترل کنند

FBI و CISA به توسعه دهندگان می گویند که قبل از انتشار، مسائل امنیتی را کنترل کنند

شناسهٔ خبر: 468988 -




انگشتان یک فرد روی یک صفحه کلید تایپ می کنند، با یک صفحه امنیتی دیجیتال <a href= که یک قفل روی آن پوشانده شده است. " class=" block-image-ads hero-image" srcset="https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-320-80.jpg 320w, https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-480-80.jpg 480w, https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-650-80.jpg 650w, https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-970-80.jpg 970w, https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-1024-80.jpg 1024w, https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-1200-80.jpg 1200w, https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd-1920-80.jpg 1920w" sizes="(min-width: 1000px) 600px, calc(100vw - 40px)" data-pin-media="https://cdn.mos.cms.futurecdn.net/5fz9SMYxWbv44jFVcD4vmd.jpg">
(اعتبار تصویر: Shutterstock / Thapana_Studio)

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و اداره تحقیقات فدرال (FBI) در اوایل این هفته هشدار امنیتی مشترک جدیدی را منتشر کردند و از توسعه دهندگان نرم افزار خواستند هنگام توسعه محصولات نرم افزاری، مسیرهای عبور را در نظر داشته باشند.

Path traversal یک آسیب‌پذیری نرم‌افزاری است که با نام پیمایش دایرکتوری یا دایرکتوری صعود نیز شناخته می‌شود. با سوء استفاده از این نقص، عوامل تهدید می توانند به فایل ها و دایرکتوری های حساس دسترسی پیدا کنند. این حفره معمولاً در برنامه‌های کاربردی وب یا سیستم‌هایی ایجاد می‌شود که به صورت پویا مسیرهای فایل را بر اساس ورودی کاربر می‌سازند بدون اینکه به درستی آن را تأیید یا پاکسازی کنند.

طبق گفته این دو آژانس، پیمایش مسیر یک "کلاس دائمی از نقص در محصولات نرم افزاری" است، علیرغم اینکه به خوبی مستند شده و رویکردهای حذف موثر در مقیاس برای بیش از دو دهه دارد.

خواستار اقدام

در این هشدار آمده است: «تولیدکنندگان نرم‌افزار با توسعه محصولاتی که امکان بهره‌برداری از پیمایش دایرکتوری را فراهم می‌کنند، همچنان مشتریان را در معرض خطر قرار می‌دهند.» و اضافه می‌کند که عوامل تهدید دائماً از پیمایش مسیر برای هدف قرار دادن بخش‌های بهداشت و درمان و سلامت عمومی سوء استفاده می‌کنند.

در حال حاضر، CISA دارای 55 آسیب‌پذیری پیمایش مسیر است که در فهرست آسیب‌پذیری‌های شناخته شده (KEV) فهرست شده‌اند، که نشانه‌ای از سوء استفاده در طبیعت است.

در ادامه هشدار آمده است: «رویکردهایی برای جلوگیری از آسیب‌پذیری‌های پیمایش دایرکتوری شناخته شده‌اند، با این حال عوامل تهدید همچنان از این آسیب‌پذیری‌ها سوءاستفاده می‌کنند که بر عملکرد خدمات حیاتی، از جمله عملیات بیمارستان و مدرسه تأثیر گذاشته است».

CISA و FBI از مدیران سازنده نرم‌افزار می‌خواهند که سازمان‌های خود را ملزم به انجام آزمایش‌های رسمی (به راهنمای آزمایش OWASP مراجعه کنید) برای تعیین حساسیت محصولات خود به آسیب‌پذیری‌های پیمایش دایرکتوری می‌خواهند.

این دو آژانس همچنین از همه کاربران نرم‌افزار می‌خواهند که از شرکای خود سؤال کنند، اگر آزمایش پیمایش دایرکتوری رسمی انجام داده‌اند یا خیر.

«اگر تولیدکنندگان متوجه شوند که سیستم‌هایشان فاقد اقدامات کاهشی مناسب است، باید اطمینان حاصل کنند که توسعه‌دهندگان نرم‌افزار آنها فوراً اقدامات کاهشی را برای از بین بردن کل این دسته از نقص از همه محصولات اجرا می‌کنند. ایجاد امنیت در محصولات از ابتدا می‌تواند آسیب‌پذیری‌های پیمایش دایرکتوری را از بین ببرد.» این دو نتیجه گرفتند.

بیشتر از TechRadar Pro

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است