Dalış Özeti:
- FBI ile Siber Güvenlik ve Altyapı Güvenliği Ajansı, hastaneler ve okul operasyonları da dahil olmak üzere kritik sektörlere yönelik tasarım gereği güvenli saldırılardaki artışa dikkat çekerek, yazılım şirketlerini ürünlerinden dizin geçişi güvenlik açıklarını ortadan kaldırmaya çağırdı. Perşembe günü yayınlanan uyarı.
- Teşkilatlar, tehdit gruplarının kapsamlı istismar faaliyetlerine giriştiği son iki kampanyanın ardından sektörel eylem arayışında. Ajanslar, ConnectWise ScreenConnect’te şu şekilde listelenen bir yol geçiş güvenlik açığına atıfta bulundu: CVE-2024-1708ve Cisco AppDynamics Controller’ın dosya yükleme işlevindeki bir güvenlik açığı şu şekilde listelenmiştir: CVE-2024-20345.
- Uyarıya göre, CISA’nın Bilinen Kötüye Kullanılan Güvenlik Açıkları kataloğunda listelenen 55 farklı durumda toplamda dizin geçişi veya yol geçişi güvenlik açıkları belirlendi.
Dalış Bilgisi:
Uyarıda, dizin geçişindeki güvenlik açığının, kullanıcının giriş parametreleri veya dosya yolları gibi erişilemez olması gereken girişleri manipüle etmesine izin verdiği belirtildi. Saldırgan kısıtlı bir dizine erişim sağlayabilir ve isteğe bağlı dosyaları okuyabilir, yazabilir veya değiştirebilir.
Yazılım üreticileri, uyarıya göre her dosya için rastgele tanımlayıcılar oluşturarak ve ilgili meta verileri ayrı ayrı depolayarak bu tür güvenlik açıklarını önleyebilir.
Üreticiler dosya adlarında kullanılan karakter türlerini de sınırlayabilir; örneğin yalnızca alfasayısal karakterlere izin verebilir.
CISA ve FBI, bu ürünleri kullanan kuruluşların üreticiye, dizin geçişindeki güvenlik açıklarını kontrol etmek için resmi testler yapıp yapmadıklarını sormaları gerektiğini söyledi.
CISA yazılım şirketlerini zorluyor Biden yönetiminin ulusal siber güvenlik stratejisinin temel ilkesi olan geliştirme aşamasında ürünlerine daha fazla güvenlik eklemek.
Amaç, teknoloji müşterilerinin, sistemlerini haydut ulus devletlerin veya suçlu fidye yazılımı aktörlerinin kötü niyetli saldırılarına maruz bırakabilecek yazılım güvenlik açıklarını aramak zorunda kalma sıklığını azaltmaktır.
Veracode’un CTO’su ve kurucu ortağı Chris Wysopal, e-posta yoluyla şunları söyledi: “Programcılar, saldırganların, yazılımın çalışmasını değiştiren ve sistemin tamamen tehlikeye girmesine yol açabilecek yerlere dosya okuyup yazamamasını sağlamak için kullanıcı girişini doğrulamak üzere eğitilmelidir.” . “Bu doğrulamanın eksik olduğu yerleri bulmak için yazılım geliştirme sırasında uygulama güvenlik testi kullanılmalıdır.”