CISA

CISAとFBIは本日、ソフトウェア会社に対し、出荷前に自社製品を見直し、パストラバーサル・セキュリティの脆弱性を排除するよう促した。

攻撃者は、パストラバーサル脆弱性(ディレクトリトラバーサルとも呼ばれる)を悪用し、コードの実行や認証などのセキュリティメカニズムの回避に使用される重要なファイルを作成または上書きすることができる。

このようなセキュリティ上の欠陥は、脅威者が機密データにアクセスすることを許してしまう可能性もあり、そのような機密データは、後に既存のアカウントをブルートフォースして標的のシステムに侵入するために使用されます。

また、認証に使用される重要なファイルを上書き、削除、破損させることで、脆弱なシステムをダウンさせたり、アクセスを遮断したりするシナリオも考えられます(これにより、すべてのユーザーがロックアウトされます)。

「ディレクトリ・トラバーサル・エクスプロイトが成功するのは、技術メーカーがユーザーから提供されたコンテンツを悪意のある可能性があるものとして扱わず、顧客を適切に保護できないためである」と、CISAとFBIは述べている[PDF]。

ディレクトリトラバーサルのような脆弱性は、少なくとも2007年以来 “許されない “と言われてきた。この発見にもかかわらず、(CWE-22やCWE-23のような)ディレクトリ・トラバーサル脆弱性は依然として一般的な脆弱性のクラスである。

重要インフラ攻撃における最近の悪用に促されて

この共同警告は、「ソフトウェアのディレクトリ・トラバーサル脆弱性(例えば、CVE-2024-1708CVE-2024-20345)を悪用して、ヘルスケアおよび公衆衛生セクターを含む重要インフラセクターのユーザーを危険にさらす、最近よく公表された脅威行為者のキャンペーン」に対応するものであると、2つの連邦機関は述べています。

例えば、ScreenConnect CVE-2024-1708 パストラバーサルバグは、CobaltStrike ビーコンとbuhtiRansom LockBit 亜種をプッシュするBlack Basta と Bl00dy ランサムウェア攻撃におけるCVE-2024-1709 認証バイパス欠陥と連鎖していました。

CISAとFBIは、ソフトウェア開発者に対し、ディレクトリ・トラバーサル脆弱性を防ぐために、以下のような「よく知られた効果的な緩和策」を実装するよう助言した:

  • ファイル名の命名時にユーザー入力を使用するのではなく、各ファイルにランダムな識別子を生成し、関連するメタデータを個別に(例えばデータベースに)保存すること。
  • ファイル名に指定できる文字の種類を、英数字に限定するなど、厳密に制限する。
  • アップロードされたファイルに実行可能なパーミッションがないようにする。

パスの脆弱性は、MITRE の「最も危険なソフトウェアの弱点トップ 25」において、out-of-bounds write、クロスサイト・スクリプティング、SQL インジェクション、use-after-free、OS コマンド・インジェクション、out-of-bound read の各欠陥を上回り、8位にランクインした。

CISAとFBIは3月にも「セキュア・バイ・デザイン(Secure by Design)」警告を発表し、ソフトウェア製造企業の幹部に対し、SQLインジェクション(SQLi)のセキュリティ脆弱性を防ぐための緩和策を実施するよう促している。

SQLiの脆弱性は、MITREが2021年から2022年にかけてソフトウェアに影響を与える最も危険な脆弱性トップ25の中で、境界外書き込みとクロスサイト・スクリプティングに次いで第3位にランクされている。