CISA ve FBI, teknoloji üretim şirketlerinin yöneticilerini, kuruluşlarının yazılımlarını resmi olarak incelemeye ve göndermeden önce SQL enjeksiyon (SQLi) güvenlik açıklarını ortadan kaldırmak için azaltımlar uygulamaya çağırdı.
SQL enjeksiyon saldırılarında, tehdit aktörleri veritabanı sorgularında kullanılan giriş alanlarına veya parametrelere kötü niyetli olarak hazırlanmış SQL sorgularını “enjekte eder” ve veritabanında depolanan hassas verileri sızdırma, değiştirme veya silme gibi istenmeyen SQL komutlarını yürütmek için uygulamanın güvenliğindeki güvenlik açıklarından yararlanır. .
Bu, gizli verilere yetkisiz erişime, veri ihlallerine ve hatta hedeflenen veritabanlarıyla etkileşime giren web uygulamalarında veya yazılımlarda uygunsuz giriş doğrulama ve temizleme nedeniyle hedeflenen sistemlerin tamamen ele geçirilmesine yol açabilir.
CISA ve FBI, SQL enjeksiyon (SQLi) güvenlik açıklarını önlemek için parametreli sorguların hazırlanmış ifadelerle kullanılmasını önermektedir. Bu yaklaşım, SQL kodunu kullanıcı verilerinden ayırarak kötü amaçlı girdilerin bir SQL ifadesi olarak yorumlanmasını imkansız hale getirir.
Parametreli sorgular, girdi temizleme teknikleriyle karşılaştırıldığında tasarım gereği güvenli bir yaklaşım için daha iyi bir seçenektir çünkü ikincisi atlanabilir ve geniş ölçekte uygulanması zordur.
SQLi güvenlik açıkları, MITRE'nin 2021 ile 2022 yılları arasında yazılımları rahatsız eden en tehlikeli 25 zayıflık sıralamasında üçüncü sırada yer aldı ve yalnızca sınır dışı yazma ve siteler arası komut dosyası çalıştırma tarafından geride bırakıldı.
CISA ve FBI, “Kodlarında güvenlik açığı bulunduğunu keşfederlerse, üst düzey yöneticiler, kuruluşlarının yazılım geliştiricilerinin mevcut ve gelecekteki tüm yazılım ürünlerinden bu tür kusurların tamamını ortadan kaldırmak için derhal azaltıcı önlemleri uygulamaya başlamasını sağlamalıdır.” dedi. [PDF].
“Bu hafifletmenin başlangıçta (tasarım aşamasında başlayıp geliştirme, sürüm ve güncellemeler boyunca devam ederek) dahil edilmesi, siber güvenliğin müşteriler üzerindeki yükünü ve kamuya yönelik riskleri azaltır.”
CISA ve FBI, bu ortak uyarıyı, Mayıs 2023'te başlayan ve dünya çapında binlerce kuruluşu etkileyen, Progress MOVEit Transfer tarafından yönetilen dosya aktarım uygulamasında sıfır gün SQLi güvenlik açığını hedef alan Clop fidye yazılımı hackleme çılgınlığına yanıt olarak yayınladı.
Çok sayıda ABD federal kurumu ve iki ABD Enerji Bakanlığı (DOE) kuruluşu da bu veri hırsızlığı saldırılarının kurbanı oldu.
Coveware'in tahminleri, geniş kurban havuzuna rağmen yalnızca sınırlı sayıda kurbanın Clop'un fidye taleplerini yerine getirebileceğini öne sürdü.
Bununla birlikte siber suç çetesinin, yüksek fidye talepleri nedeniyle tahmini olarak 75-100 milyon dolar tutarında ödeme topladığı tahmin ediliyor.
İki kurum Pazartesi günü yaptığı açıklamada, “Son yirmi yılda SQLi açıklarına ilişkin yaygın bilgi ve belgelemenin yanı sıra etkili hafifletme yöntemlerinin bulunmasına rağmen, yazılım üreticileri bu kusura sahip ürünler geliştirmeye devam ediyor ve bu da birçok müşteriyi riske atıyor.” dedi.
“SQLi gibi güvenlik açıkları, en az 2007'den bu yana başkaları tarafından 'affedilemez' bir güvenlik açığı olarak değerlendiriliyor. Bu bulguya rağmen, SQL güvenlik açıkları (CWE-89 gibi) hala yaygın bir güvenlik açığı sınıfıdır.”
Geçtiğimiz ay Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD), teknoloji şirketlerini bellek güvenliği açıklarının sayısını azaltarak yazılım güvenliğini artırmak için bellek açısından güvenli programlama dillerine (Rust gibi) geçmeye çağırdı.
Ocak ayında CISA ayrıca küçük ofis/ev ofisi (SOHO) yönlendirici üreticilerinden, cihazlarının, Volt Typhoon Çin devlet destekli bilgisayar korsanlığı grubu tarafından koordine edilenler de dahil olmak üzere devam eden saldırılara karşı güvenli olduğundan emin olmalarını istedi.