CISA và FBI kêu gọi các tổ chức ngăn chặn lỗ hổng Path Traversal
CISA và FBI cảnh báo các tác nhân đe dọa lợi dụng các lỗ hổng phần mềm Path Traversal trong các cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng. Các tác nhân đe dọa có thể khai thác các lỗ hổng Path Traversal (còn được gọi là Directory Traversal) để tạo hoặc ghi đè các tệp quan trọng nhằm thực thi mã hoặc bỏ qua các cơ chế bảo mật như xác thực.
Được biết, Path Traversal là một lỗ hổng bảo mật phổ biến trên các ứng dụng web. Lỗ hổng này cho phép kẻ tấn công truy cập vào các tệp tin và thư mục trên máy chủ web vốn không được phép truy cập. Điều này có thể gây ra nhiều nguy hiểm cho hệ thống web và dữ liệu của người dùng.
Những lỗ hổng bảo mật như vậy cũng có thể cho phép các tác nhân đe dọa truy cập vào dữ liệu nhạy cảm, chẳng hạn như thông tin xác thực mà sau này có thể được sử dụng để tấn công các tài khoản hiện có nhằm xâm phạm các hệ thống được nhắm mục tiêu.
Một trường hợp khác có thể xảy ra là chặn quyền truy cập vào các hệ thống dễ bị tấn công bằng cách ghi đè, xóa hoặc làm hỏng các tệp quan trọng được sử dụng để xác thực (điều này sẽ khóa tất cả người dùng).
CISA và FBI cho biết: “Lỗ hổng Path Traversal dễ bị khai thác thành công vì thông thường các nhà phát triển công nghệ không xác định nội dung do người dùng cung cấp là có khả năng độc hại, do đó không bảo vệ đầy đủ khách hàng của họ. Các lỗ hổng như Path Traversal đến nay vẫn được xem là một trong những lỗ hổng phổ biến”.
Cảnh báo chung này được đưa ra khi thời gian gần đây các chiến dịch tấn công mạng đã khai thác các lỗ hổng Path Traversal trong phần mềm (ví dụ như CVE-2024-1708 hay CVE-2024-20345) để xâm phạm người dùng sử dụng các phần mềm, ảnh hưởng đến các lĩnh vực cơ sở hạ tầng quan trọng, trong đó có ngành y tế.
Ví dụ: Lỗ hổng Path Traversal ScreenConnect CVE-2024-1708 có liên quan đến lỗ hổng vượt qua xác thực CVE-2024-1709 trong các cuộc tấn công mã độc tống tiền Black Basta và Bl00dy để phân phối CobaltStrike beacon và các biến thể của mã độc tống tiền LockBit.
CISA và FBI khuyến nghị các nhà phát triển phần mềm nên triển khai các biện pháp giảm thiểu nhằm ngăn chặn các lỗ hổng Path Traversal, bao gồm:
- Tạo mã định danh ngẫu nhiên cho từng tệp và lưu trữ siêu dữ liệu (metadata) liên quan riêng biệt (ví dụ trong cơ sở dữ liệu) thay vì sử dụng thông tin đầu vào của người dùng khi đặt tên tệp.
- Giới hạn chặt chẽ các loại ký tự có thể được cung cấp trong tên tệp.
- Đảm bảo rằng các tệp đã tải lên (upload) không có quyền thực thi.
CISA hiện liệt kê 55 lỗ hổng Path Traversal trong Danh mục các lỗ hổng bị khai thác đã biết (KEV). CISA và FBI cũng nhấn mạnh rằng vòng đời phát triển phần mềm an toàn theo thiết kế là cơ sở để loại bỏ các lỗ hổng bảo mật, bao gồm cả Path Traversal.
Hai cơ quan cho biết, bằng cách thực hiện đầy đủ các nguyên tắc và thực tiễn thiết kế an toàn được khuyến nghị, các nhà sản xuất phần mềm có thể bảo vệ khách hàng của họ trước các mối đe dọa tấn công độc hại.
Trước đây, tháng 3/2024, CISA và FBI đã đưa ra một cảnh báo bảo mật khác, kêu gọi giám đốc điều hành của các công ty sản xuất phần mềm thực hiện các biện pháp giảm thiểu để ngăn chặn các lỗ hổng bảo mật SQL Injection.
Vũ Mạnh Hà
(Tổng hợp)