La CISA e la FBI esortano i produttori di software a sfruttare i principi del Secure by Design per eliminare le vulnerabilità del Directory Traversal.
In risposta ai recenti e noti attacchi informatici che hanno sfruttato le vulnerabilità del directory traversal in vari programmi software (ad esempio, CVE-2024-1708, CVE-2024-20345), compromettendo gli utenti e impattando settori critici dell’infrastruttura come il settore sanitario e pubblico, la CISA (Cybersecurity and Infrastructure Security Agency) e la FBI (Federal Bureau of Investigation) hanno rilasciato un allarme congiunto chiamato ‘Secure by Design’.
Questo allarme vuole sottolineare la persistenza e la continua sfruttabilità delle falle di directory traversal da parte degli attuali attori delle minacce informatiche. Attualmente, la CISA ha elencato 55 vulnerabilità di directory traversal nel suo catalogo delle vulnerabilità note e sfruttate (KEV). Sebbene siano noti modi per evitare queste vulnerabilità, le stesse continuano ad essere sfruttate dagli attori di minacce, impattando il funzionamento di servizi critici tra cui ospedali e scuole.
CISA e FBI sollecitano i dirigenti dei produttori di software a richiedere alle loro organizzazioni di condurre prove formali al fine di determinare la suscettibilità dei loro prodotti alle vulnerabilità del directory traversal. Per tali prove, è possibile adottare i principi di progettazione sicura, Secure by Design, suggeriti dalla CISA. Questi principi sottolineano l’importanza di integrare la sicurezza informatica nel ciclo di vita del prodotto dallo sviluppo iniziale alla distribuzione, offrendo una sorta di lista di controllo volta a garantire il rilascio di software senza vulnerabilità di directory traversal.