O CISA e o FBI instaram os executivos de empresas de fabricação de tecnologia a promoverem revisões formais do software de suas organizações e implementar atenuações para eliminar vulnerabilidades de segurança de injeção SQL (SQLi) antes do envio.
Em ataques de injeção SQL, atores de ameaças "injetam" consultas SQL maliciosamente criadas em campos de entrada ou parâmetros usados em consultas de banco de dados, explorando vulnerabilidades na segurança do aplicativo para executar comandos SQL não intencionais, como exfiltrar, manipular, ou deletar dados sensíveis armazenados no banco de dados.
Isso pode levar ao acesso não autorizado a dados confidenciais, violações de dados, e até mesmo a tomada total dos sistemas alvo, devido à validação e sanitização inadequadas de entrada em aplicações web ou software que interagem com os bancos de dados alvejados.
CISA e o FBI aconselham o uso de consultas parametrizadas com declarações preparadas para prevenir vulnerabilidades de injeção SQL (SQLi).
Esta abordagem separa o código SQL dos dados do usuário, tornando impossível para a entrada maliciosa ser interpretada como uma declaração SQL.
Consultas parametrizadas são uma opção melhor para uma abordagem segura por design comparada às técnicas de sanitização de entrada, porque elas podem ser contornadas e são difíceis de aplicar em escala.
As vulnerabilidades SQLi ficaram em terceiro lugar na lista da MITRE das 25 fraquezas mais perigosas que assolam os softwares entre 2021 e 2022, superadas apenas por escritas fora dos limites e cross-site scripting.
"Se descobrirem que seu código tem vulnerabilidades, os executivos seniores devem garantir que os desenvolvedores de software de suas organizações comecem imediatamente a implementar atenuações para eliminar esta classe inteira de defeito de todos os produtos de software atuais e futuros", disse CISA e o FBI [PDF].
"Incorporar esta atenuação desde o início - começando na fase de design e continuando através do desenvolvimento, lançamento e atualizações - reduz o ônus da cibersegurança nos clientes e o risco para o público."
CISA e o FBI emitiram este alerta conjunto em resposta a uma onda de ataques com o ransomware Clop que começou em maio de 2023 e mirou numa vulnerabilidade de injeção SQL de zero-day no aplicativo de transferência de arquivos gerenciada Progress MOVEit Transfer, afetando milhares de organizações ao redor do mundo.
Várias agências federais dos EUA e duas entidades do Departamento de Energia dos EUA (DOE) também foram vítimas desses ataques de roubo de dados.
Apesar do vasto grupo de vítimas, estimativas da Coveware sugerem que apenas um número limitado de vítimas provavelmente cederia às demandas de resgate do Clop.
No entanto, é provável que a gangue de cibercrime tenha coletado cerca de $75-100 milhões em pagamentos devido às altas exigências de resgate.
"Apesar do amplo conhecimento e documentação de vulnerabilidades SQLi ao longo das últimas duas décadas, juntamente com a disponibilidade de atenuações eficazes, os fabricantes de software continuam a desenvolver produtos com este defeito, o que coloca muitos clientes em risco", disseram as duas agências na segunda-feira.
"Vulnerabilidades como SQLi são consideradas por outros como uma vulnerabilidade 'imperdoável' desde pelo menos 2007.
Apesar deste achado, vulnerabilidades SQL (como CWE-89) ainda são uma classe prevalente de vulnerabilidade."
No mês passado, o Escritório do Diretor Nacional de Cibersegurança (ONCD) da Casa Branca instou as empresas de tecnologia a mudarem para linguagens de programação seguras para a memória (como Rust) para melhorar a segurança do software, reduzindo o número de vulnerabilidades de segurança da memória.
Em janeiro, o CISA também pediu aos fabricantes de roteadores de pequenos escritórios/casa (SOHO) para garantir que seus dispositivos são seguros contra ataques constantes, incluindo aqueles coordenados pelo grupo de hacking chinês apoiado pelo estado, Volt Typhoon.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...