CISA y el FBI instaron a los ejecutivos de las empresas de fabricación de tecnología a solicitar revisiones formales del software de sus organizaciones e implementar mitigaciones para eliminar las vulnerabilidades de seguridad de inyección SQL (SQLi) antes del envío. En los ataques de inyección SQL, los actores de amenazas «inyectan» consultas SQL diseñadas con fines malintencionados en campos de entrada o parámetros utilizados en consultas de bases de datos, explotando vulnerabilidades en la seguridad de la aplicación para ejecutar comandos SQL no deseados, como exfiltrar, manipular o eliminar datos confidenciales almacenados en la base de datos. . Esto puede conducir a un acceso no autorizado a datos confidenciales, violaciones de datos e incluso una toma completa de los sistemas objetivo debido a una validación y desinfección de entradas inadecuadas en aplicaciones web o software que interactúan con las bases de datos objetivo. CISA y el FBI recomiendan el uso de consultas parametrizadas con declaraciones preparadas para evitar vulnerabilidades de inyección SQL (SQLi). Este enfoque separa el código SQL de los datos del usuario, lo que hace imposible que la entrada maliciosa se interprete como una declaración SQL. Las consultas parametrizadas son una mejor opción para un enfoque seguro por diseño en comparación con las técnicas de desinfección de entradas porque estas últimas pueden evitarse y son difíciles de aplicar a escala. Las vulnerabilidades de SQLi ocuparon el tercer lugar entre las 25 debilidades más peligrosas del software de MITRE entre 2021 y 2022, solo superadas por las escrituras fuera de límites y las secuencias de comandos entre sitios. «Si descubren que su código tiene vulnerabilidades, los altos ejecutivos deben asegurarse de que los desarrolladores de software de sus organizaciones comiencen inmediatamente a implementar mitigaciones para eliminar toda esta clase de defecto de todos los productos de software actuales y futuros», dijeron CISA y el FBI. [PDF]. «Incorporar esta mitigación desde el principio (comenzando en la fase de diseño y continuando durante el desarrollo, el lanzamiento y las actualizaciones) reduce la carga de la ciberseguridad para los clientes y el riesgo para el público». ​CISA y el FBI emitieron esta alerta conjunta en respuesta a una ola de piratería del ransomware Clop que comenzó en mayo de 2023 y tuvo como objetivo una vulnerabilidad SQLi de día cero en la aplicación de transferencia de archivos administrada Progress MOVEit Transfer, que afectó a miles de organizaciones en todo el mundo. Varias agencias federales de EE. UU. y dos entidades del Departamento de Energía (DOE) de EE. UU. también han sido víctimas de estos ataques de robo de datos. A pesar del gran número de víctimas, las estimaciones de Coveware sugirieron que sólo un número limitado de víctimas probablemente cedería a las demandas de rescate de Clop. No obstante, es probable que la banda de ciberdelincuentes haya recaudado entre 75 y 100 millones de dólares en pagos debido a las elevadas solicitudes de rescate. «A pesar del conocimiento y la documentación generalizados de las vulnerabilidades de SQLi durante las últimas dos décadas, junto con la disponibilidad de mitigaciones efectivas, los fabricantes de software continúan desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes», dijeron las dos agencias el lunes. «Vulnerabilidades como SQLi han sido consideradas por otros como una vulnerabilidad ‘imperdonable’ desde al menos 2007. A pesar de este hallazgo, las vulnerabilidades SQL (como CWE-89) siguen siendo una clase de vulnerabilidad predominante». El mes pasado, la Oficina del Director Cibernético Nacional (ONCD) de la Casa Blanca instó a las empresas de tecnología a cambiar a lenguajes de programación seguros para la memoria (como Rust) para mejorar la seguridad del software reduciendo la cantidad de vulnerabilidades de seguridad de la memoria. En enero, CISA también pidió a los fabricantes de enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) que se aseguraran de que sus dispositivos estuvieran seguros contra ataques en curso, incluidos aquellos coordinados por el grupo de piratería respaldado por el estado chino Volt Typhoon. URL de la publicación original: https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-sql-injection-vulnerabilities/

Source link