Estados Unidos claramente se ha cansado de que los proveedores de software envíen productos con vulnerabilidades «imperdonables» y ahora los insta a lanzar revisiones formales de código para erradicar las fallas de inyección SQL. La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta de diseño seguro el lunes, recordando a la comunidad tecnológica que no hay excusa para que este tipo de vulnerabilidad de décadas de antigüedad siga causando problemas en la actualidad. Citaron los ataques a la cadena de suministro de MOVEit del año pasado, habilitados por una inyección SQL de día cero, como ejemplo del daño que tales problemas pueden causar. El extinto equipo de ransomware y extorsión Cl0p fue responsable de los ataques MOVEit MFT el año pasado. El negocio de ciberseguridad Emsisoft creó una página web para rastrear el número de víctimas y, a pesar de que Progress Software lanzó parches con bastante rapidez, el grupo fue responsable de infracciones en 2.769 organizaciones, según los datos de esta semana. Esto significa que hasta ahora alrededor de 95 millones de personas se han visto afectadas. El llamado de las autoridades se extiende también a los clientes de los proveedores de software. Se les ha aconsejado que hagan responsables a sus proveedores preguntándoles si se ha realizado una revisión formal del código sobre la susceptibilidad de un producto a vulnerabilidades de inyección SQL y qué mitigaciones se han implementado. Las vulnerabilidades de inyección SQL existen cuando los desarrolladores permiten que los datos ingresados ​​por el usuario se suministren a una base de datos directamente como un comando SQL. Esto puede llevar a todo tipo de cosas desagradables, incluida la modificación o eliminación del contenido de la base de datos, la lectura y/o el robo de ese contenido y la ejecución de varios comandos de administrador. Las autoridades de ciberseguridad, incluida, entre otras, CISA, han estado pidiendo que las prácticas de programación seguras por diseño sean la norma durante más de una década, y esos esfuerzos continúan hoy. Tanto CISA como el FBI dijeron en la alerta [PDF] que las vulnerabilidades de inyección SQL deben erradicarse desde el comienzo del proceso de desarrollo centrándose en la seguridad desde el principio. «Seguro por diseño significa que los fabricantes diseñan y construyen sus productos de una manera que los proteja razonablemente contra actores cibernéticos maliciosos que explotan con éxito los defectos del producto», se lee en la alerta. «La incorporación de esta mitigación desde el principio (comenzando en la fase de diseño y continuando durante el desarrollo, lanzamiento y actualizaciones) reduce la carga de la ciberseguridad sobre los clientes y el riesgo para el público». Otros han considerado vulnerabilidades como SQLi como una vulnerabilidad ‘imperdonable’. desde al menos 2007. A pesar de este hallazgo, las vulnerabilidades SQL (como CWE-89) siguen siendo una clase de vulnerabilidad predominante. Por ejemplo, CWE-89 se encuentra entre las 25 listas principales de debilidades de software más peligrosas y persistentes en 2023″. Se ha recomendado a los proveedores de software que utilicen consultas parametrizadas con declaraciones preparadas para mitigar las vulnerabilidades de inyección SQL. Según las autoridades, estas permiten al usuario -Los datos de entrada se separarán de las consultas SQL y «incorporan mejor un enfoque seguro por diseño» en comparación con las técnicas de desinfección de entrada. Estas son implementadas por algunos proveedores, pero CISA y el FBI las calificaron de «frágiles». «Difíciles de implementar a gran escala y son más fáciles de eludir. Además de adoptar principios de diseño seguro, las autoridades instaron a los proveedores a ser transparentes cuando se trata de revelar vulnerabilidades a los clientes. El uso del programa CVE permite a los clientes rastrear y gestionar su exposición a las vulnerabilidades de software, y especificar el CVE correcto significa que la industria en general puede rastrear al propio proveedor para detectar cualquier tema común con los problemas que revela, y responsabilizarlo por cualquier proceso de desarrollo que necesite mejorar. No es sólo la seguridad de una sola pieza de software lo que está en juego, argumentan CISA y el FBI. El software seguro desde el principio protege la economía en general y ahorra costos a largo plazo. «Los líderes deben considerar el panorama completo: que los clientes, nuestra economía y nuestra seguridad nacional son actualmente los más afectados por las decisiones comerciales de no incorporar la seguridad a sus productos, como [MOVEit MFT] «La campaña descrita anteriormente y esta Alerta lo refleja claramente», dijeron. «Además, dirigir el negocio hacia el desarrollo de software seguro por diseño a menudo reduce los costos financieros y de productividad, así como la complejidad. Los líderes deben realizar las inversiones adecuadas y desarrollar las estructuras de incentivos adecuadas que promuevan la seguridad como objetivo empresarial declarado». ®

Source link