A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Federal Bureau of Investigation (FBI) publicaram um novo alerta de segurança conjunto no início desta semana, instando os desenvolvedores de software a manterem a travessia de caminho em mente ao desenvolver produtos de software.
A travessia de caminho é uma vulnerabilidade de software também conhecida como travessia de diretório ou escalada de diretório. Ao abusar dessa falha, os agentes de ameaças podem acessar arquivos e diretórios confidenciais. A falha normalmente surge em aplicativos da web ou sistemas que constroem caminhos de arquivos dinamicamente com base na entrada do usuário, sem validá-los ou higienizá-los adequadamente.
De acordo com as duas agências, o path traversal é uma “classe persistente de defeito em produtos de software”, apesar de estar bem documentado e de ter abordagens de eliminação eficazes, em escala, há mais de duas décadas.
Ação exigente
“Os fabricantes de software continuam a colocar os clientes em risco ao desenvolver produtos que permitem a exploração de travessia de diretório”, diz o alerta, acrescentando que os atores da ameaça estão constantemente abusando da travessia de caminho para atingir os setores de saúde e de saúde pública.
No momento, a CISA tem 55 vulnerabilidades de passagem de caminho listadas no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), sinalizando abusos na natureza.
“As abordagens para evitar vulnerabilidades de passagem de diretório são conhecidas, mas os atores da ameaça continuam a explorar essas vulnerabilidades que impactaram a operação de serviços críticos, incluindo operações hospitalares e escolares”, afirma ainda o alerta.
“A CISA e o FBI instam os executivos dos fabricantes de software a exigirem que suas organizações realizem testes formais (consulte as orientações de testes da OWASP) para determinar a suscetibilidade de seus produtos a vulnerabilidades de passagem de diretório.”
As duas agências também incentivam todos os usuários de software a perguntarem aos seus parceiros se eles realizaram testes formais de passagem de diretório.
“Se os fabricantes descobrirem que seus sistemas não possuem as mitigações apropriadas, eles devem garantir que seus desenvolvedores de software implementem imediatamente mitigações para eliminar toda essa classe de defeitos de todos os produtos. Incorporar segurança aos produtos desde o início pode eliminar vulnerabilidades de passagem de diretório”, concluíram os dois.