CISA ed FBI esortano gli sviluppatori di software ad eliminare le vulnerabilità di SQL injection

Ricardo Nardini : 12 Aprile 2024 07:26

A marzo di quest’anno l’organizzazione americana CISA e il FBI hanno esortato i dirigenti delle aziende produttrici di software e tecnologia a procedere con revisioni formali ed accurate del software delle loro organizzazioni o di loro manifattura, ad implementare misure di mitigazione per eliminare eventuali vulnerabilità di sicurezza inerenti le SQL injection (SQLi) prima della vendita o messa in produzione.

Negli attacchi SQL injection, gli autori delle minacce “iniettano” query SQL dannose nei campi di input o nei parametri utilizzati nelle query del database, sfruttando le vulnerabilità nella sicurezza dell’applicazione o mal configurazioni delle medesime per eseguire comandi SQL dannosi, come l’esfiltrazione, la manipolazione o l’eliminazione dei dati sensibili archiviati nel database.

Ciò può portare all’accesso non autorizzato di dati riservati, violazioni dei dati e persino alla completa acquisizione dei sistemi presi di mira a causa di un’errata convalida e accesso degli input nelle applicazioni web o nei software che interagiscono con i database presi di mira.

Le misure consigliate

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La CISA e il FBI consigliano l’uso di query parametrizzate separate con istruzioni preparate opportunamente per prevenire le vulnerabilità SQL injection (SQLi). Questo approccio separa il codice SQL dai dati dell’utente tramite un passaggio intermedio dell’applicazione web, rendendo impossibile l’interpretazione di input dannosi come un’istruzione SQL.

Le query parametrizzate rappresentano un’opzione migliore per un approccio sicuro fin dalla progettazione software rispetto alle tecniche dirette degli input. Queste ultime possono essere aggirate e sono difficili da controllare su larga scala.

Le vulnerabilità SQLi si sono classificate al terzo posto tra le 25 principali debolezze più pericolose documentate da MITRE, che affliggono il software tra il 2021 e il 2022, superate solo dagli input out-of-bounds e dallo cross-site scripting.

Portare vecchi problemi su nuovi prodotti

Le due agenzie insistono che incorporare questa mitigazione fin dall’inizio a partire dalla fase di progettazione e continuando attraverso lo sviluppo, il rilascio e gli aggiornamenti, riduce il peso delle problematiche sulle base dati e i rischi per la sicurezza.

CISA e FBI hanno emesso questo avviso congiunto in risposta a un’ondata di hacking del ransomware Clop iniziata nel maggio del 2023 che ha preso di mira una vulnerabilità SQLi zero-day nell’app di trasferimento file gestito “Progress MOVEit Transfer”, che ha colpito migliaia di organizzazioni in tutto il mondo.

Anche diverse agenzie federali statunitensi e due enti del “Dipartimento dell’Energia degli Stati Uniti” (DOE) sono state vittime di questi attacchi di esfiltrazione dati.

Nonostante l’ampio bacino di vittime, le stime di Coveware suggerivano che solo un numero limitato di vittime avrebbe probabilmente ceduto alle richieste di riscatto di Clop.

Ciò nonostante, le bande criminali informatiche ha probabilmente raccolto pagamenti stimati tra 75 e 100 milioni di dollari a causa delle elevate richieste di riscatto.

Le note

“Nonostante la diffusa conoscenza e documentazione delle vulnerabilità SQLi negli ultimi due decenni, insieme alla disponibilità di soluzioni efficaci, i produttori di software continuano a sviluppare prodotti con questi difetti, che mette a rischio molti clienti”, hanno affermato le due agenzie.

“Vulnerabilità come le SQLi sono state considerate da molti una vulnerabilità molto grave almeno dal 2007. Nonostante questa constatazione, le vulnerabilità SQL (come la CWE-89) sono ancora una classe di vulnerabilità ricorrente.”

A gennaio del 2024, l’Ufficio del National Cyber Director (ONCD) della Casa Bianca ha esortato le aziende tecnologiche a passare allo sviluppo su linguaggi di programmazione sicuri per la memoria (come Rust) per migliorare la sicurezza del software. Questi linguaggi riducono il numero di vulnerabilità della sicurezza in memoria.

La CISA ha anche chiesto ai produttori di router per piccoli uffici/home office (SOHO) di garantire che i loro dispositivi siano sicuri contro gli attacchi in corso, compresi gli attacchi coordinati dal gruppo di hacking Volt Typhoon sostenuto dallo stato cinese.

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.

Lista degli articoli