La CISA e l'FBI mettono in guardia contro le vulnerabilità da sql injection

La CISA e l'FBI hanno richiamato l'attenzione dei dirigenti delle aziende del settore tecnologico sull'importanza di revisionare formalmente il software prodotto per identificare e mitigare le vulnerabilità legate all'iniezione di SQL (SQLi) prima del loro rilascio sul mercato. Con l'iniezione SQL, gli aggressori inseriscono query SQL dannose nei campi di input, sfruttando le lacune nella sicurezza dell'applicazione per eseguire comandi SQL non intenzionali, come l'esfiltrazione, la manipolazione o l'eliminazione di dati sensibili.

Strumenti consigliati e contesto della minaccia

Gli esperti di sicurezza consigliano l'utilizzo di query parametrizzate con istruzioni preparate per prevenire le vulnerabilità da SQLi, in quanto separano il codice SQL dai dati forniti dagli utenti, impedendo che input malevoli possano essere interpretati come comandi SQL. Questo metodo è preferibile alla sanificazione degli input, che può essere aggirata ed è difficile da implementare su larga scala. Le vulnerabilità SQLi sono state identificate come la terza minaccia più pericolosa secondo il MITRE, precedute solo da scritture fuori limiti e cross-site scripting.

Importanza della mitigazione precoce delle vulnerabilità

L'allarme congiunto di CISA e FBI segue la serie di attacchi ransomware Clop, iniziati a maggio 2023, che sfruttavano una vulnerabilità da zero-day SQLi nell'applicazione Progress MOVEit Transfer, colpendo migliaia di organizzazioni in tutto il mondo. Nonostante il numero elevato di vittime, si stima che solo un numero limitato di queste abbia effettivamente accettato di pagare il riscatto. Questo ha tuttavia generato guadagni stimati per il gruppo criminale tra i 75 e i 100 milioni di dollari.

Chiamata all'azione per una maggiore sicurezza del software

Nonostante la vulnerabilità SQLi sia ampiamente riconosciuta e documentata da oltre 2 decenni, con misure di mitigazione efficaci ben note, i produttori di software continuano a rilasciare prodotti afflitti da questo difetto, esponendo numerosi utenti a rischi significativi. Recentemente, l'Office of the National Cyber Director (ONCD) della Casa Bianca ha esortato le aziende tecnologiche ad adottare linguaggi di programmazione sicuri per la gestione della memoria, come Rust, allo scopo di ridurre le vulnerabilità legate alla sicurezza della memoria. Inoltre, già a gennaio, la CISA aveva sollecitato i produttori di router per uffici domestici e piccoli uffici a garantire la sicurezza dei dispositivi contro attacchi in corso, tra cui quelli coordinati dal gruppo di hacking supportato dallo stato cinese Volt Typhoon.