CISA et le FBI ont exhorté les dirigeants des entreprises de fabrication de technologies à demander des examens formels des logiciels de leur organisation et à mettre en œuvre des mesures d’atténuation pour éliminer les vulnérabilités de sécurité de l’injection SQL (SQLi) avant l’expédition.
Dans les attaques par injection SQL, les auteurs de menaces « injectent » des requêtes SQL conçues de manière malveillante dans des champs de saisie ou des paramètres utilisés dans les requêtes de base de données, exploitant les vulnérabilités de la sécurité de l’application pour exécuter des commandes SQL involontaires, telles que l’exfiltration, la manipulation ou la suppression de données sensibles stockées dans la base de données.
Cela peut entraîner un accès non autorisé à des données confidentielles, des violations de données et même une prise de contrôle complète des systèmes ciblés en raison d’une validation et d’une désinfection incorrectes des entrées dans les applications Web ou les logiciels qui interagissent avec les bases de données ciblées.
CISA et le FBI conseillent l’utilisation de requêtes paramétrées avec des instructions préparées pour éviter les vulnérabilités d’injection SQL (SQLi). Cette approche sépare le code SQL des données utilisateur, ce qui rend impossible l’interprétation d’une entrée malveillante comme une instruction SQL.
Les requêtes paramétrées sont une meilleure option pour une approche sécurisée par conception par rapport aux techniques de nettoyage des entrées, car ces dernières peuvent être contournées et sont difficiles à appliquer à grande échelle.
Les vulnérabilités SQLi ont pris la troisième place dans le top 25 des faiblesses les plus dangereuses des logiciels de MITRE entre 2021 et 2022, seulement dépassées par les écritures hors limites et les scripts intersites.
« S’ils découvrent que leur code présente des vulnérabilités, les cadres supérieurs doivent s’assurer que les développeurs de logiciels de leur organisation commencent immédiatement à mettre en œuvre des mesures d’atténuation pour éliminer toute cette classe de défauts de tous les produits logiciels actuels et futurs », ont déclaré CISA et le FBI [PDF].
« L’intégration de cette atténuation dès le départ—dès la phase de conception et tout au long du développement, de la publication et des mises à jour—réduit le fardeau de la cybersécurité pour les clients et les risques pour le public. »
CISA et le FBI ont émis cette alerte conjointe en réponse à une vague de piratage de ransomware Clop qui a débuté en mai 2023 et ciblait une vulnérabilité SQLi zero-day dans l’application de transfert de fichiers géré Progress MOVEit Transfer, affectant des milliers d’organisations dans le monde entier.
Plusieurs agences fédérales américaines et deux entités du Département américain de l’Énergie (DOE) ont également été victimes de ces attaques de vol de données.
Malgré le vaste bassin de victimes, les estimations de Coveware suggéraient que seul un nombre limité de victimes étaient susceptibles de céder aux demandes de rançon de Clop.
Néanmoins, le gang de la cybercriminalité a probablement collecté environ 75 à 100 millions de dollars en paiements en raison des demandes de rançon élevées.
« Malgré une connaissance et une documentation répandues des vulnérabilités SQLi au cours des deux dernières décennies, ainsi que la disponibilité de mesures d’atténuation efficaces, les fabricants de logiciels continuent de développer des produits présentant ce défaut, ce qui met de nombreux clients en danger », ont déclaré lundi les deux agences.
« Des vulnérabilités comme SQLi ont été considérées par d’autres comme une vulnérabilité « impardonnable » depuis au moins 2007. Malgré cette découverte, les vulnérabilités SQL (telles que CWE-89) constituent toujours une classe de vulnérabilités répandue. »
Le mois dernier, le Bureau du Directeur national de la cybersécurité à la Maison Blanche (ONCD) a exhorté les entreprises technologiques à passer à des langages de programmation sécurisés pour la mémoire (comme Rust) afin d’améliorer la sécurité des logiciels en réduisant le nombre de vulnérabilités de sécurité de la mémoire.
En janvier, CISA a également demandé aux fabricants de routeurs de petit bureau/bureau à domicile (SOHO) de s’assurer que leurs appareils sont sécurisés contre les attaques en cours, y compris celles coordonnées par le groupe de piratage informatique Volt Typhoon soutenu par l’État chinois.