CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути (path traversal) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически важные файлы, что нарушает механизмы аутентификации и приводит к удаленному выполнению кода. Ведомства подчеркивают, что подобные действия становятся возможными из-за недостаточной защиты со стороны производителей технологий, которые не рассматривают данные, предоставляемые пользователями, как потенциально вредоносные. Указанные уязвимости могут дать хакерам доступ к конфиденциальной информации, в том числе к учетным данным, что впоследствии используется для брутфорс-атак. Проблема усугубляется тем, что такие уязвимости уже много лет известны как «непростительные», но несмотря на это, они все еще широко распространены, что подтверждается исследованиями классов уязвимостей CWE-22 и CWE-23.
ФБР и CISA рекомендовали разработчикам принять проверенные меры предосторожности, включая:
генерацию случайного идентификатора для каждого файла с хранением связанных метаданных отдельно от имени файла;
ограничение типов символов, которые могут быть использованы в именах файлов;
обеспечение того, чтобы загружаемые файлы не имели прав на выполнение.
Поводом для данного предупреждения стали недавние атаки на критически важную инфраструктуру, в том числе в секторах здравоохранения и общественного здоровья, где злоумышленники использовали уязвимости перехода по каталогам для реализации своих кампаний. Например, в атаках с использованием уязвимости ScreenConnect CVE-2024-1708. Уязвимости перехода по каталогам заняли 8 место в рейтинге 25 наиболее опасных программных уязвимостей по версии MITRE, уступая таким угрозам, как выход за пределы массива (out-of-bounds), межсайтовый скриптинг (cross-site scripting, XSS) и SQL-инъекции.