Ricardo Nardini : 12 Aprile 2024 07:26
A marzo di quest’anno l’organizzazione americana CISA e il FBI hanno esortato i dirigenti delle aziende produttrici di software e tecnologia a procedere con revisioni formali ed accurate del software delle loro organizzazioni o di loro manifattura, ad implementare misure di mitigazione per eliminare eventuali vulnerabilità di sicurezza inerenti le SQL injection (SQLi) prima della vendita o messa in produzione.
Negli attacchi SQL injection, gli autori delle minacce “iniettano” query SQL dannose nei campi di input o nei parametri utilizzati nelle query del database, sfruttando le vulnerabilità nella sicurezza dell’applicazione o mal configurazioni delle medesime per eseguire comandi SQL dannosi, come l’esfiltrazione, la manipolazione o l’eliminazione dei dati sensibili archiviati nel database.
Ciò può portare all’accesso non autorizzato di dati riservati, violazioni dei dati e persino alla completa acquisizione dei sistemi presi di mira a causa di un’errata convalida e accesso degli input nelle applicazioni web o nei software che interagiscono con i database presi di mira.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La CISA e il FBI consigliano l’uso di query parametrizzate separate con istruzioni preparate opportunamente per prevenire le vulnerabilità SQL injection (SQLi). Questo approccio separa il codice SQL dai dati dell’utente tramite un passaggio intermedio dell’applicazione web, rendendo impossibile l’interpretazione di input dannosi come un’istruzione SQL.
Le query parametrizzate rappresentano un’opzione migliore per un approccio sicuro fin dalla progettazione software rispetto alle tecniche dirette degli input. Queste ultime possono essere aggirate e sono difficili da controllare su larga scala.
Le vulnerabilità SQLi si sono classificate al terzo posto tra le 25 principali debolezze più pericolose documentate da MITRE, che affliggono il software tra il 2021 e il 2022, superate solo dagli input out-of-bounds e dallo cross-site scripting.
Le due agenzie insistono che incorporare questa mitigazione fin dall’inizio a partire dalla fase di progettazione e continuando attraverso lo sviluppo, il rilascio e gli aggiornamenti, riduce il peso delle problematiche sulle base dati e i rischi per la sicurezza.
CISA e FBI hanno emesso questo avviso congiunto in risposta a un’ondata di hacking del ransomware Clop iniziata nel maggio del 2023 che ha preso di mira una vulnerabilità SQLi zero-day nell’app di trasferimento file gestito “Progress MOVEit Transfer”, che ha colpito migliaia di organizzazioni in tutto il mondo.
Anche diverse agenzie federali statunitensi e due enti del “Dipartimento dell’Energia degli Stati Uniti” (DOE) sono state vittime di questi attacchi di esfiltrazione dati.
Nonostante l’ampio bacino di vittime, le stime di Coveware suggerivano che solo un numero limitato di vittime avrebbe probabilmente ceduto alle richieste di riscatto di Clop.
Ciò nonostante, le bande criminali informatiche ha probabilmente raccolto pagamenti stimati tra 75 e 100 milioni di dollari a causa delle elevate richieste di riscatto.
“Nonostante la diffusa conoscenza e documentazione delle vulnerabilità SQLi negli ultimi due decenni, insieme alla disponibilità di soluzioni efficaci, i produttori di software continuano a sviluppare prodotti con questi difetti, che mette a rischio molti clienti”, hanno affermato le due agenzie.
“Vulnerabilità come le SQLi sono state considerate da molti una vulnerabilità molto grave almeno dal 2007. Nonostante questa constatazione, le vulnerabilità SQL (come la CWE-89) sono ancora una classe di vulnerabilità ricorrente.”
A gennaio del 2024, l’Ufficio del National Cyber Director (ONCD) della Casa Bianca ha esortato le aziende tecnologiche a passare allo sviluppo su linguaggi di programmazione sicuri per la memoria (come Rust) per migliorare la sicurezza del software. Questi linguaggi riducono il numero di vulnerabilità della sicurezza in memoria.
La CISA ha anche chiesto ai produttori di router per piccoli uffici/home office (SOHO) di garantire che i loro dispositivi siano sicuri contro gli attacchi in corso, compresi gli attacchi coordinati dal gruppo di hacking Volt Typhoon sostenuto dallo stato cinese.
Ricardo NardiniSolamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Manag...
Gli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hirag...
Una falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a...
