CISA
美國網路安全暨基礎設施安全局(CISA)與美國聯邦調查局(FBI)本周發布了安全設計警報(Secure by Design Alert),呼籲技術製造商在產品出貨前應該針對程式碼展開正式審查,以辨識任何的SQL注入(SQL Injection,SQLi)漏洞。
此一警報是源自於勒索軟體集團CL0P在2023年藉由檔案傳輸管理軟體MOVEit的零時差漏洞CVE-2023-34362,攻陷各大組織的前車之鑑而來,它即是個位於MOVEit Transfer網頁應用程式的SQL注入漏洞,允許未經授權的駭客存取MOVEit Transfer資料庫,進而推斷有關資料庫架構與內容的資訊,並執行可變更或刪除資料庫元素的SQL語法,受害者從政府組織、航空公司、教育機構、金融機構到醫療供應商,根據資安業者Emsisoft的統計,至少有超過2,700家組織被駭,波及逾9,000萬名使用者的個資。
圖片來源/CISA
CISA與FBI表示,儘管在過去20年來人們已廣泛理解SQLi漏洞,也有了有效的緩解措施,然而,軟體製造商依然繼續開發具備此一缺陷的產品,使得許多客戶面臨風險,就算自2007年開始,像SQLi這類的漏洞已被視為不可原諒的安全漏洞,但相關漏洞依舊普遍存在。例如SQLi類型漏洞CWE-89去年仍登上前25款最危險漏洞排行榜。
SQLi注入漏洞主要是因應用程式無法妥善驗證使用者所輸入的SQL查詢,使得駭客得以於輸入欄位注入惡意的SQL程式碼來操控查詢,在攸關SQLi的安全設計守則中,建議業者在開發軟體時,應該隔離SQL程式碼及使用者所輸入的資料,確保系統不把使用者的輸入視為SQL語法,例如強制使用參數化查詢。
CISA與FBI督促軟體製造商的高階主管針對其程式碼展開正式審查,以確定其對SQLi危害的敏感度,同時鼓勵它們的客戶詢問供應商是否曾進行該審查,此外,在發現漏洞時,應可確保其軟體開發商能立即從所有現在或未來的軟體產品中,緩解此類的安全漏洞。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-05
2024-10-07
2024-10-07
2024-10-04