CISA ve FBI bugün yazılım şirketlerine ürünlerini göndermeden önce ürünlerini gözden geçirmeleri ve yol geçişindeki güvenlik açıklarını ortadan kaldırmaları konusunda çağrıda bulundu.
Saldırganlar, kod yürütmek veya kimlik doğrulama gibi güvenlik mekanizmalarını atlamak için kullanılan kritik dosyaları oluşturmak veya bunların üzerine yazmak için yol geçişi güvenlik açıklarından (dizin geçişi olarak da bilinir) yararlanabilir.
Bu tür güvenlik kusurları, tehdit aktörlerinin daha sonra mevcut hesaplara kaba kuvvet uygulayarak hedeflenen sistemleri ihlal etmek için kullanılabilecek kimlik bilgileri gibi hassas verilere erişmesine de olanak tanıyabilir.
Bir başka olası senaryo ise, kimlik doğrulama için kullanılan kritik dosyaların üzerine yazarak, silerek veya bozarak (tüm kullanıcıların kilitlenmesine neden olacak şekilde) savunmasız sistemlere erişimin kaldırılması veya engellenmesidir.
CISA ve FBI, “Dizin geçişi istismarları başarılı çünkü teknoloji üreticileri kullanıcı tarafından sağlanan içeriği potansiyel olarak kötü amaçlı olarak ele almıyor, dolayısıyla müşterilerini yeterince koruyamıyor.” dedi. [PDF].
“Dizin geçişi gibi güvenlik açıkları en az 2007’den beri ‘affedilemez’ olarak adlandırılıyor. Bu bulguya rağmen, dizin geçişi güvenlik açıkları (CWE-22 ve CWE-23 gibi) hâlâ yaygın güvenlik açığı sınıflarıdır.”
Kritik altyapı saldırılarında yakın zamanda ortaya çıkan istismar nedeniyle ortaya çıktı
Bu ortak uyarı, “yazılım kullanıcılarının güvenliğini tehlikeye atmak için yazılımdaki dizin geçişi güvenlik açıklarından (örn. CVE-2024-1708, CVE-2024-20345) yararlanan ve kritik altyapı sektörlerini etkileyen, son zamanlarda iyi duyurulan tehdit aktörü kampanyalarına yanıt olarak geliyor. Sağlık ve Kamu Sağlığı Sektörü” dedi iki federal kurum.
Örneğin, ScreenConnect CVE-2024-1708 yol geçiş hatası, Black Basta ve Bl00dy fidye yazılımı saldırılarında CobaltStrike işaretlerini ve buhtiRansom LockBit çeşitlerini zorlayan CVE-2024-1709 kimlik doğrulama atlama kusuruyla zincirlendi.
CISA ve FBI, yazılım geliştiricilere aşağıdakiler dahil olmak üzere dizin geçişindeki güvenlik açıklarını önleyecek “iyi bilinen ve etkili azaltıcı önlemleri” uygulamalarını tavsiye etti:
- Dosyaları adlandırırken kullanıcı girişi kullanmak yerine, her dosya için rastgele bir tanımlayıcı oluşturmak ve ilişkili meta verileri ayrı ayrı (örneğin bir veritabanında) depolamak.
- Dosya adlarında sağlanabilecek karakter türlerinin kesin olarak sınırlandırılması, örneğin alfasayısal karakterlerle sınırlandırılması.
- Yüklenen dosyaların yürütülebilir izinlere sahip olmamasını sağlamak.
Path güvenlik açıkları, MITRE’nin en tehlikeli 25 yazılım zayıflığı arasında sekizinci sırada yer aldı ve sınır dışı yazma, siteler arası komut dosyası oluşturma, SQL enjeksiyonu, ücretsiz kullanım, işletim sistemi komut enjeksiyonu ve sınır dışı okuma kusurlarının ardından geride kaldı .
Mart ayında, CISA ve FBI, yazılım üretim şirketlerinin yöneticilerini SQL enjeksiyon (SQLi) güvenlik açıklarını önlemek için azaltıcı önlemler uygulamaya çağıran başka bir “Tasarım Yoluyla Güvenli” uyarısı yayınladı.
SQLi güvenlik açıkları, MITRE’nin 2021 ile 2022 yılları arasında yazılımı etkileyen en tehlikeli 25 zayıflık sıralamasında üçüncü sırada yer alırken, bunların arasında yalnızca sınır dışı yazmalar ve siteler arası komut dosyası çalıştırma yer alıyor.