Ricardo Nardini : 12 Aprile 2024 07:26
A marzo di quest’anno l’organizzazione americana CISA e il FBI hanno esortato i dirigenti delle aziende produttrici di software e tecnologia a procedere con revisioni formali ed accurate del software delle loro organizzazioni o di loro manifattura, ad implementare misure di mitigazione per eliminare eventuali vulnerabilità di sicurezza inerenti le SQL injection (SQLi) prima della vendita o messa in produzione.
Negli attacchi SQL injection, gli autori delle minacce “iniettano” query SQL dannose nei campi di input o nei parametri utilizzati nelle query del database, sfruttando le vulnerabilità nella sicurezza dell’applicazione o mal configurazioni delle medesime per eseguire comandi SQL dannosi, come l’esfiltrazione, la manipolazione o l’eliminazione dei dati sensibili archiviati nel database.
Ciò può portare all’accesso non autorizzato di dati riservati, violazioni dei dati e persino alla completa acquisizione dei sistemi presi di mira a causa di un’errata convalida e accesso degli input nelle applicazioni web o nei software che interagiscono con i database presi di mira.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La CISA e il FBI consigliano l’uso di query parametrizzate separate con istruzioni preparate opportunamente per prevenire le vulnerabilità SQL injection (SQLi). Questo approccio separa il codice SQL dai dati dell’utente tramite un passaggio intermedio dell’applicazione web, rendendo impossibile l’interpretazione di input dannosi come un’istruzione SQL.
Le query parametrizzate rappresentano un’opzione migliore per un approccio sicuro fin dalla progettazione software rispetto alle tecniche dirette degli input. Queste ultime possono essere aggirate e sono difficili da controllare su larga scala.
Le vulnerabilità SQLi si sono classificate al terzo posto tra le 25 principali debolezze più pericolose documentate da MITRE, che affliggono il software tra il 2021 e il 2022, superate solo dagli input out-of-bounds e dallo cross-site scripting.
Le due agenzie insistono che incorporare questa mitigazione fin dall’inizio a partire dalla fase di progettazione e continuando attraverso lo sviluppo, il rilascio e gli aggiornamenti, riduce il peso delle problematiche sulle base dati e i rischi per la sicurezza.
CISA e FBI hanno emesso questo avviso congiunto in risposta a un’ondata di hacking del ransomware Clop iniziata nel maggio del 2023 che ha preso di mira una vulnerabilità SQLi zero-day nell’app di trasferimento file gestito “Progress MOVEit Transfer”, che ha colpito migliaia di organizzazioni in tutto il mondo.
Anche diverse agenzie federali statunitensi e due enti del “Dipartimento dell’Energia degli Stati Uniti” (DOE) sono state vittime di questi attacchi di esfiltrazione dati.
Nonostante l’ampio bacino di vittime, le stime di Coveware suggerivano che solo un numero limitato di vittime avrebbe probabilmente ceduto alle richieste di riscatto di Clop.
Ciò nonostante, le bande criminali informatiche ha probabilmente raccolto pagamenti stimati tra 75 e 100 milioni di dollari a causa delle elevate richieste di riscatto.
“Nonostante la diffusa conoscenza e documentazione delle vulnerabilità SQLi negli ultimi due decenni, insieme alla disponibilità di soluzioni efficaci, i produttori di software continuano a sviluppare prodotti con questi difetti, che mette a rischio molti clienti”, hanno affermato le due agenzie.
“Vulnerabilità come le SQLi sono state considerate da molti una vulnerabilità molto grave almeno dal 2007. Nonostante questa constatazione, le vulnerabilità SQL (come la CWE-89) sono ancora una classe di vulnerabilità ricorrente.”
A gennaio del 2024, l’Ufficio del National Cyber Director (ONCD) della Casa Bianca ha esortato le aziende tecnologiche a passare allo sviluppo su linguaggi di programmazione sicuri per la memoria (come Rust) per migliorare la sicurezza del software. Questi linguaggi riducono il numero di vulnerabilità della sicurezza in memoria.
La CISA ha anche chiesto ai produttori di router per piccoli uffici/home office (SOHO) di garantire che i loro dispositivi siano sicuri contro gli attacchi in corso, compresi gli attacchi coordinati dal gruppo di hacking Volt Typhoon sostenuto dallo stato cinese.
Ricardo NardiniL’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
Sempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...
I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...
Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...
Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegato amministrativo in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...
