back to top
Sunday, November 10, 2024
spot_img
InícioCibersegurançaFBI e CISA alertam aos desenvolvedores para reprimir questões de segurança antes...

FBI e CISA alertam aos desenvolvedores para reprimir questões de segurança antes de lançar

Apesar de ser bem documentado, a travessia do caminho continua sendo um grande problema

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Federal Bureau of Investigation (FBI) publicaram um novo alerta de segurança conjunto no início desta semana, instando os desenvolvedores de software a manterem a travessia de caminho em mente ao desenvolver produtos de software.

A travessia de caminho é uma vulnerabilidade de software também conhecida como travessia de diretório ou escalada de diretório. Ao abusar dessa falha, os agentes de ameaças podem acessar arquivos e diretórios confidenciais. A falha normalmente surge em aplicativos da web ou sistemas que constroem caminhos de arquivos dinamicamente com base na entrada do usuário, sem validá-los ou higienizá-los adequadamente. 

De acordo com as duas agências, o path traversal é uma “classe persistente de defeito em produtos de software”, apesar de estar bem documentado e de ter abordagens de eliminação eficazes, em escala, há mais de duas décadas.

Ação exigente

“Os fabricantes de software continuam a colocar os clientes em risco ao desenvolver produtos que permitem a exploração de travessia de diretório”, diz o alerta, acrescentando que os atores da ameaça estão constantemente abusando da travessia de caminho para atingir os setores de saúde e de saúde pública. 

No momento, a CISA tem 55 vulnerabilidades de passagem de caminho listadas no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), sinalizando abusos na natureza.

“As abordagens para evitar vulnerabilidades de passagem de diretório são conhecidas, mas os atores da ameaça continuam a explorar essas vulnerabilidades que impactaram a operação de serviços críticos, incluindo operações hospitalares e escolares”, afirma ainda o alerta. 

“A CISA e o FBI instam os executivos dos fabricantes de software a exigirem que suas organizações realizem testes formais (consulte as orientações de testes da OWASP) para determinar a suscetibilidade de seus produtos a vulnerabilidades de passagem de diretório.”

As duas agências também incentivam todos os usuários de software a perguntarem aos seus parceiros se eles realizaram testes formais de passagem de diretório. 

“Se os fabricantes descobrirem que seus sistemas não possuem as mitigações apropriadas, eles devem garantir que seus desenvolvedores de software implementem imediatamente mitigações para eliminar toda essa classe de defeitos de todos os produtos. Incorporar segurança aos produtos desde o início pode eliminar vulnerabilidades de passagem de diretório”, concluíram os dois.

Domingos Massissa
Domingos Massissahttps://mambosdeit.com
IT professional with over eight years of experience in IT Consulting and Systems Administration. Specializes in developing and implementing secure and efficient solutions with expertise in configuring and maintaining Windows Server systems, information security policies, virtualization, and cloud migration. Proven track record in remote and in-person technical support with advanced Microsoft certifications. Passionate about optimizing processes and promoting organizational success through technological innovation and robust IT practices.MLSA Beta Microsoft
POSTAGEM RECENTES

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

- Advertisment -
Google search engine

ARTIGOS

POSTAGEM POPULAR

TUTORIAL

POSTAGENS

Recent Comments