CISA
美国网路安全暨基础设施安全局(CISA)与美国联邦调查局(FBI)本周发布了安全设计警报(Secure by Design Alert),呼吁技术制造商在产品出货前应该针对程式码展开正式审查,以辨识任何的SQL注入(SQL Injection,SQLi)漏洞。
此一警报是源自于勒索软体集团CL0P在2023年借由档案传输管理软体MOVEit的零时差漏洞CVE-2023-34362,攻陷各大组织的前车之鉴而来,它即是个位于MOVEit Transfer网页应用程式的SQL注入漏洞,允许未经授权的骇客存取MOVEit Transfer资料库,进而推断有关资料库架构与内容的资讯,并执行可变更或删除资料库元素的SQL语法,受害者从政府组织、航空公司、教育机构、金融机构到医疗供应商,根据资安业者Emsisoft的统计,至少有超过2,700家组织被骇,波及逾9,000万名使用者的个资。
图片来源/CISA
CISA与FBI表示,尽管在过去20年来人们已广泛理解SQLi漏洞,也有了有效的缓解措施,然而,软体制造商依然继续开发具备此一缺陷的产品,使得许多客户面临风险,就算自2007年开始,像SQLi这类的漏洞已被视为不可原谅的安全漏洞,但相关漏洞依旧普遍存在。例如SQLi类型漏洞CWE-89去年仍登上前25款最危险漏洞排行榜。
SQLi注入漏洞主要是因应用程式无法妥善验证使用者所输入的SQL查询,使得骇客得以于输入栏位注入恶意的SQL程式码来操控查询,在攸关SQLi的安全设计守则中,建议业者在开发软体时,应该隔离SQL程式码及使用者所输入的资料,确保系统不把使用者的输入视为SQL语法,例如强制使用参数化查询。
CISA与FBI督促软体制造商的高阶主管针对其程式码展开正式审查,以确定其对SQLi危害的敏感度,同时鼓励它们的客户询问供应商是否曾进行该审查,此外,在发现漏洞时,应可确保其软体开发商能立即从所有现在或未来的软体产品中,缓解此类的安全漏洞。