CISA督促软件开发人员消除SQL注入漏洞

在SQL注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。

因与目标数据库交互的web应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管。CISA 和 FBI 建议使用实现写好语句的参数化查询，阻止SQL注入漏洞。这种方法将SQL代码与用户数据加以区分，使得恶意输入不可能被解释为 SQL 语句。与输入清理技术相比，参数化查询时设计安全方法的更好选择，因为前者可被绕过且难以大规模执行。

SQL注入漏洞在MITRE 于2021年和2022年发布的“前25个最危险的弱点”中排行第三，仅次于界外写和跨站脚本攻击。CISA和FBI指出，“如果他们发现代码存在漏洞，高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施，从所有当前和未来软件产品中消除整个缺陷类型。在设计阶段直到开发、发布和更新阶段集成该缓解措施，可以缓解客户的网络安全负担以及公众所面临的风险。”

CISA和FBI在 Clop 勒索团伙从2023年5月利用 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 0day（影响全球数千家组织机构）后发布了该联合告警。多家美国连班该机构和两个美国能源部实体也是这些数据盗取攻击的受害者。尽管受害者众多，Coveware 认为仅有少部分受害者可能会支付赎金。尽管如此，该勒索团伙可能获得的赎金在750万到1亿美元之间。

本周一，CISA和FBI提到，“尽管20年来广泛传播SQLi 漏洞的知识和问的那个，以及存在多种有效缓解措施，但软件制造商仍然持续开发含有该漏洞类型的产品，导致很多客户面临风险。SQLi类型漏洞自2007年开始就被其他人视作“无法原谅的”漏洞”。尽管如此，SQL类型的漏洞（如CWE-89）仍然是广泛传播的漏洞类型。”

上个月，白宫国家安全总监办公室 (ONCD) 督促技术企业采用内存安全编程语言（如 Rust），通过消减内存安全漏洞的数量来改进软件安全。1月份，CISA还要求SOHO路由器厂商确保自己的设备可防御正在实施的攻击活动。