CISA e FBI incentiva eliminar vulnerabilidades de passagem de diretório (Directory Traversal). Alerta convoca desenvolvedores a a eliminar vulnerabilidade de passagem de diretório nos softwares .
A Agência de Segurança Cibernética e de Infraestrutura (CISA – Cybersecurity and Infrastructure Security Agency) e o Federal Bureau of Investigation (FBI) emitiram um alerta conjunto Secure by Design, convocando desenvolvedores de software e executivos do setor a intensificarem seus esforços na eliminação de vulnerabilidades de passagem de diretório em seus produtos.
Esta medida surge em resposta a uma série de ataques cibernéticos de alto perfil que exploraram estas vulnerabilidades, nomeadamente CVE-2024-1708 e CVE-2024-20345, levando a perturbações significativas em sectores de infraestruturas críticas, incluindo cuidados de saúde e educação pública.
A passagem de diretório (Directory traversal), também conhecida como passagem de caminho (patch traversal), representa uma falha crítica de segurança que permite que invasores acessem diretórios restritos e executem comandos fora do diretório raiz de um servidor web.
Apesar de ser um problema bem documentado há mais de duas décadas, com estratégias de mitigação abrangentes prontamente disponíveis, a persistência destas vulnerabilidades em produtos de software novos e existentes continua a representar um risco significativo para a segurança cibernética global.
Campanhas recentes de agentes de ameaças que aproveitam vulnerabilidades de passagem de diretório ressaltaram a necessidade urgente de uma abordagem mais proativa à segurança de software.
A exploração dessas vulnerabilidades não comprometeu apenas informações confidenciais. Ainda assim, também perturbou serviços essenciais, incluindo operações hospitalares e instituições educativas, sublinhando o potencial para um impacto generalizado na segurança e no bem-estar públicos.
Call for Action da CISA e do FBI
Em seu Secure by Design Alert , a CISA e o FBI delinearam várias recomendações importantes para fabricantes de software e seus clientes.
Para os fabricantes, as agências enfatizam a importância da realização de testes formais, de acordo com as orientações de testes do OWASP , para avaliar a suscetibilidade dos seus produtos às vulnerabilidades de passagem de diretório .
Além disso, eles são incentivados a desenvolver e publicar um roteiro de design seguro, demonstrando seu compromisso em priorizar a segurança em seus processos de desenvolvimento.
O alerta aconselha os clientes a consultarem as práticas de testes de segurança dos seus fornecedores de software, incentivando uma cultura de transparência e responsabilidade na indústria.
Com a CISA listando atualmente 55 vulnerabilidades de passagem de diretório em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) , o alerta conjunto serve como um lembrete crítico dos desafios contínuos na proteção de software contra ameaças cibernéticas.
A colaboração entre a CISA e o FBI destaca a importância de uma abordagem unificada à segurança cibernética, enfatizando o papel da cooperação em toda a indústria na abordagem e mitigação destas vulnerabilidades.
Ao aderir às recomendações delineadas no Secure by Design Alert, os fabricantes de software e os seus clientes podem contribuir para uma redução significativa do risco de ataques cibernéticos, garantindo a proteção de infraestruturas críticas e a segurança do público.
Por: Professor Baran publicado em Cyber Security News
Veja também:
- Violação do Dropbox expõe credenciais de clientes e dados de autenticação
- Roubando sua conta do Telegram em 10 segundos
- Mais de 2 bilhões de cookies vazados na dark web são do Brasil
- 90% dos ataques a empresas começam com e-mail de phishing
- A Inteligência Artificial como aliada para segurança
- Engenharia Social: golpes e a importância do investimento em segurança
- Autenticação biométrica: uso da tecnologia “liveness”
- Como prevenir ciberataques e construir resiliência no setor de logística
- O que é a Cyber Kill Chain ?
- Vazamento de dados do PIX: especialistas orientam como se proteger
- Ciberataques aumentam 38% no primeiro trimestre de 2024
- Golpes virtuais: Como as empresas podem se proteger?
Deixe sua opinião!