Nieuws
image

VS roept softwareontwikkelaars op einde aan path traversal te maken

vrijdag 3 mei 2024, 10:34 door Redactie, 3 reacties

De Amerikaanse autoriteiten hebben softwareontwikkelaars opgeroepen een einde aan path traversal te maken, omdat deze klasse van kwetsbaarheden al meer dan twee decennia bekend is, en ondanks de beschikbaarheid van manieren om het te voorkomen, nog steeds voorkomt en grote impact heeft (pdf). Bij path traversal krijgt een aanvaller door het aanpassen van gebruikersinvoer toegang tot directories en bestanden waar hij eigenlijk geen toegang toe zou moeten hebben.

In de oproep, die afkomstig is van de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, wordt gewezen naar twee recente path traversal-lekken in producten van Cisco en ConnectWise ScreenConnect die zijn gebruikt bij aanvallen tegen organisaties in vitale sectoren, waaronder de gezondheidszorg.

"Maatregelen om path traversal te voorkomen zijn bekend, toch blijven aanvallers misbruik van deze beveiligingslekken maken, die gevolgen hebben gehad voor de bedrijfsvoering van vitale diensten, waaronder ziekenhuizen en onderwijsinstellingen", aldus de overheidsdiensten. Het CISA en de FBI roepen directeuren van softwarebedrijven op om hun organisaties te verplichten dat hun producten op de aanwezigheid van path traversal worden gecheckt.

De oproep bevat ook advies om path traversal te voorkomen, alsmede drie principes voor de ontwikkeling van veilige software. Softwareontwikkelaars zouden onder andere verantwoordelijkheid moeten nemen voor de veiligheid van hun klanten. Eerder deden het CISA en de FBI ook een oproep aan softwareontwikkelaars om SQL injection te voorkomen. Net als SQL injection staat ook path traversal in de door MITRE samengestelde top 10 van gevaarlijkste kwetsbaarheden.

Reacties (3)
Reageer met quote
03-05-2024, 11:38 door Anoniem
Je zou denken dat dit soort knulligheden niet meer voor zouden komen. Ooit bij een hoster gewerkt in 2000, toen nog niemand echt nadacht over privacy en infosec, waar ik een bericht kreeg van iemand die mij erop wees dat op een van onze testwebstites de directory listing nog aanstond. Meteen actie ondernomen uiteraard maar 24 jaar geleden kon je nog wel mee weg komen met dat soort zaken maar anno 2024 kan dat echt niet meer. Degene die dergelijke knulligheden nog veroorzaakt zou op staande voet ontslag moeten krijgen. Althans vind ik.
Reageer met quote
03-05-2024, 12:21 door Anoniem
Doe dan ook maar SQL injection, een aanval die al meer dan 25 jaar bestaat (http://phrack.org/issues/54/8.html#article) en nog steeds wijdverbreid is. Het kwartje valt gewoon niet en nieuwe mensen maken gewoon weer dezelfde fouten die decennia geleden ook al werden gemaakt. Wat dat betreft is het lerend vermogen in de IT door al die knutselaars minimaal.
Reageer met quote
03-05-2024, 16:42 door karma4
Path traversal kun je tegen gaan door een goed securitymodel te hanteren.
Het is een wonderlijk iets dat een service account voor b.v. een web-server met root/admin rechten draait.
Datzelfde kun je zeggen van SQL injection. Als het gebruikte service account niet bij gevoelige zaken kan dan is het hele gedoe om met code de rechten na te bouwen niet nodig,
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure