3月25日（本周一），網絡安全與基礎設施安全局（CISA）和聯邦調查局（FBI）發(fā)布了 "安全設計 "警報。他們將 SQL 注入漏洞（SQLi）歸入"不可饒恕的 "一類漏洞。

警報指出：盡管在過去二十年中，人們普遍了解并記錄了 SQLi 漏洞，而且也有了有效的緩解措施，但軟件制造商仍在繼續(xù)開發(fā)存在這一缺陷的產品，這使許多客戶面臨風險。

在 SQL 注入攻擊中，威脅行動者將惡意構造的 SQL 查詢“注入”數據庫查詢中所使用的字段或參數中，利用應用程序中的漏洞來執(zhí)行非計劃SQL命令如提取、操作或刪除存儲在數據庫中的敏感數據。 因與目標數據庫交互的 web 應用或軟件中的輸入驗證和清理不當，這可導致機密數據越權訪問、數據泄露甚至是目標系統(tǒng)遭完全接管，CISA 和 FBI 建議使用實現寫好語句的參數化査詢，阻止SQL注入漏洞。這種方法將SQL代碼與用戶數據加以區(qū)分，使得惡意輸入不可能被解釋為 SQL語句。與輸入清理技術相比，參數化査詢時設計安全方法的更好選擇，因為前者可被繞過且難以大規(guī)模執(zhí)行。 SQL注入漏洞在MITRE 于2021年和2022年發(fā)布的“前25個最危險的漏洞"中排行第三，僅次于越界寫入漏洞和跨站腳本攻擊。越界寫入漏洞是一種軟件漏洞，會導致程序在分配的內存區(qū)域邊界之外寫入。端點崩潰，或者執(zhí)行任意代碼等后果。威脅行為者通常通過寫入比分配的內存區(qū)域的大小更大的數據或將數據寫入內存區(qū)域內的錯誤位置來濫用此漏洞。

CISA 和 FBI 指出，"如果他們發(fā)現代碼存在漏洞，高管們應當確保所在組織機構的軟件開發(fā)人員立即開始執(zhí)行緩解措施，從所有當前和未來軟件產品中消除整個缺陷類型。在設計階段直到開發(fā)、發(fā)布和更新階段集成該緩解措施，可以緩解客戶的網絡安全負擔以及公眾所面臨的風險。

幾十年來，軟件行業(yè)一直知道如何大規(guī)模消除 SQLi 缺陷。然而，威脅分子去年就利用了開發(fā)商 Progress 的 MOVEit 文件傳輸軟件中的這樣一個漏洞，造成了毀滅性的后果。 去年5月， Clop 勒索團伙利用了 Progress MOVEit Transfer文件傳輸管理 app 中的一個 SQLi 零日漏洞，該漏洞影響全球數千家組織機構，隨后 CISA 和 FBI 立即發(fā)布了聯合告警。盡管此案的受害者眾多，但Coveware認為僅有少部分受害者可能會支付贖金。即便如此，據估計該勒索團伙可能獲得的贖金仍在750萬到1億美元之間。

據 CISA 稱，SQLi 攻擊之所以能夠得逞，是因為開發(fā)人員沒有將用戶提供的內容視為潛在的惡意內容。它不僅會導致敏感數據被盜，還會使壞人篡改、刪除數據庫中的信息或使其不可用。

警報敦促技術制造商遵循三項指導原則：

• 通過執(zhí)行正式的代碼審查并使用“帶有參數化查詢的預制語句”作為標準做法，對客戶安全結果負責 
• 通過確保 CVE 記錄的正確性和完整性、記錄漏洞的根本原因并努力消除整個類別的漏洞，實現“徹底”的透明度和問責制 
• 將業(yè)務目標重新調整為安全設計軟件開發(fā)，包括進行正確的投資和建立激勵結構。這最終有助于降低財務和生產力成本以及復雜性 

CISA 和 FBI 督促技術制造企業(yè)管理層對所在組織機構的軟件提起正式審計并執(zhí)行緩解措施，在軟件交付前消除SQL注入(SQLi) 漏洞。

參考來源：https://www.infosecurity-magazine.com/news/cisa-fbi-renewed-effort-eliminate/