CISA ve FBI, teknoloji imalat şirketlerinin yöneticilerini kuruluşlarının yazılımlarının resmi incelemelerini yapmaya ve göndermeden önce SQL Enjeksiyon (SQLI) güvenlik açıklarını ortadan kaldırmak için hafifletmeler uygulamaya çağırdı.
SQL enjeksiyon saldırılarında, tehdit aktörleri, veritabanı sorgularında kullanılan girdi alanlarına veya parametrelere kötü niyetli bir şekilde hazırlanmış SQL sorgularını "enjekte eder", uygulamanın güvenliğindeki güvenlik açıklarını, veritabanı olarak kaydedilen, manipüle etme veya silme gibi istenmeyen SQL komutlarını yürütmek için "enjekte eder". .
Bu, hedeflenen veritabanlarıyla etkileşime giren web uygulamalarında veya yazılımlarda uygunsuz girdi doğrulaması ve dezenfekte nedeniyle gizli verilere, veri ihlallerine ve hatta hedeflenen sistemlerin tam olarak ele geçirilmesine yol açabilir.
CISA ve FBI, SQL enjeksiyonu (SQLI) güvenlik açıklarını önlemek için hazırlanmış ifadelerle parametrelenmiş sorguların kullanılmasını tavsiye eder. Bu yaklaşım, SQL kodunu kullanıcı verilerinden ayırır ve kötü amaçlı girdinin bir SQL ifadesi olarak yorumlanmasını imkansız hale getirir.
Parametrelendirilmiş sorgular, giriş dezenfekârlığı tekniklerine kıyasla güvenli bir tasarım yaklaşımı için daha iyi bir seçenektir, çünkü ikincisi atlanabilir ve ölçekte uygulanması zordur.
SQLI güvenlik açıkları, 2021 ve 2022 yılları arasında Miter'in ilk en tehlikeli 25 zayıf yönünde üçüncü sırayı aldı, sadece sınır dışı yazma ve siteler arası senaryolar tarafından aşıldı.
CISA ve FBI [PDF], "Kodlarının güvenlik açıklarına sahip olduğunu keşfediyorlarsa, üst düzey yöneticiler kuruluşlarının yazılım geliştiricilerinin tüm mevcut ve gelecekteki yazılım ürünlerinden bu kusur sınıfını ortadan kaldırmak için hemen hafifletmeler uygulamaya başlamasını sağlamalıdır." Dedi.
Diyerek şöyle devam etti: "Bu hafifletmeyi başlangıçta dahil etmek - tasarım aşamasında başa çıkmak ve kalkınma, serbest bırakma ve güncellemeler yoluyla devam etmek - siber güvenlik yükünü müşteriler ve halka yönelik risk yükünü azaltır."
CISA ve FBI, Mayıs 2023'te başlayan ve ilerleme moveit transfer yönetilen dosya transfer uygulamasında sıfır gün SQLI güvenlik açığı hedefleyen ve dünya çapında binlerce kuruluşu etkileyen bir klop fidye yazılımı hackleme çılgınlığına yanıt olarak bu ortak uyarıyı yayınladı.
Birden fazla ABD federal ajansı ve iki ABD Enerji Bakanlığı (DOE) varlığı da bu veri hırsızlığı saldırılarının kurbanı olmuştur.
Geniş kurban havuzuna rağmen, Coveware'in tahminleri, Clop'un fidye taleplerine sadece sınırlı sayıda kurbanın verilebileceğini öne sürdü.
Bununla birlikte, siber suç çetesi yüksek fidye talepleri nedeniyle tahmini 75-100 milyon dolarlık ödeme topladı.
İki ajans Pazartesi günü, "Son yirmi yılda SQLI güvenlik açıklarının yaygın bilgi ve dokümantasyonuna rağmen, etkili hafifletmelerin mevcudiyeti ile birlikte, yazılım üreticileri birçok müşteriyi riske atan bu kusurla ürünler geliştirmeye devam ediyor." Dedi.
"SQLI gibi güvenlik açıkları diğerleri tarafından en az 2007'den beri 'affedilemez' bir güvenlik açığı olarak kabul edildi. Bu bulguya rağmen, SQL güvenlik açıkları (CWE-89 gibi) hala yaygın bir güvenlik açığı sınıfıdır."
Geçen ay, Ulusal Siber Direktör (ONCD) Beyaz Saray ofisi, teknoloji şirketlerini bellek güvenliği güvenlik açıklarının sayısını azaltarak yazılım güvenliğini artırmak için bellek güvenli programlama dillerine (pas gibi) geçmeye çağırdı.
Ocak ayında CISA ayrıca küçük ofis/ev ofis (SOHO) yönlendiricilerinin üreticilerinden, Volt Typhoon Çin devlet destekli hackleme grubu tarafından koordine edilenler de dahil olmak üzere cihazlarının devam eden saldırılara karşı güvende olmasını sağlamalarını istedi.
CISA, fabrika sıfırladıktan sonra bile hacklenen Ivanti VPN ağ geçitlerini kullanmaya karşı uyarıyor
FBI, CISA ABD hastanelerini hedeflenen Blackcat Fidye Yazılımı Saldırıları
CISA, Çinli bilgisayar korsanlarına karşı kritik altyapı savunma ipuçlarını paylaşıyor
ABD Govt, su kamu hizmetleri için siber saldırı savunma ipuçlarını paylaşıyor
Rus hackerlar bulut saldırılarına geçer, ABD ve müttefikler uyarıyor
Kaynak: Bleeping Computer