La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) y el Buró Federal de Investigaciones (FBI) publicaron una nueva alerta conjunta de seguridad a principios de esta semana, instando a los desarrolladores de software a tener en cuenta la travesía de rutas al desarrollar productos de software.
La travesía de rutas es una vulnerabilidad del software también conocida como travesía de directorios o escalada de directorios. Al abusar de esta falla, los actores de amenazas pueden acceder a archivos y directorios sensibles. El agujero típicamente surge en aplicaciones web o sistemas que construyen dinámicamente rutas de archivos basadas en la entrada del usuario sin validar o sanearla adecuadamente.
Según las dos agencias, la travesía de rutas es una “clase persistente de defecto en productos de software”, a pesar de estar bien documentada y tener enfoques efectivos para su eliminación, a escala, durante más de dos décadas.
Exigiendo acción
“Los fabricantes de software continúan poniendo en riesgo a los clientes al desarrollar productos que permiten la explotación de la travesía de directorios”, dice la alerta, agregando que los actores de amenazas están constantemente abusando de la travesía de rutas para atacar a los sectores de la salud y la salud pública.
Actualmente, CISA tiene 55 vulnerabilidades de travesía de rutas enumeradas en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV), señalando un abuso en el mundo real.
“Los enfoques para evitar las vulnerabilidades de travesía de directorios son conocidos, sin embargo, los actores de amenazas continúan explotando estas vulnerabilidades que han afectado el funcionamiento de servicios críticos, incluidas las operaciones hospitalarias y escolares”, dice la alerta adicionalmente.
“CISA y el FBI instan a los ejecutivos de fabricantes de software a requerir que sus organizaciones realicen pruebas formales (consulte la guía de pruebas de OWASP) para determinar la susceptibilidad de sus productos a las vulnerabilidades de travesía de directorios”.
Las dos agencias también instan a todos los usuarios de software a preguntar a sus socios si han realizado pruebas formales de travesía de directorios.
“Si los fabricantes descubren que sus sistemas carecen de las mitigaciones adecuadas, deben asegurarse de que sus desarrolladores de software implementen de inmediato mitigaciones para eliminar esta clase completa de defectos de todos los productos. Integrar la seguridad en los productos desde el principio puede eliminar las vulnerabilidades de travesía de directorios”, concluyeron.