3月25日（本周一），網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）和聯(lián)邦調(diào)查局（FBI）發(fā)布了 "安全設(shè)計 "警報。他們將 SQL 注入漏洞（SQLi）歸入"不可饒恕的 "一類漏洞。

警報指出：盡管在過去二十年中，人們普遍了解并記錄了 SQLi 漏洞，而且也有了有效的緩解措施，但軟件制造商仍在繼續(xù)開發(fā)存在這一缺陷的產(chǎn)品，這使許多客戶面臨風(fēng)險。

在 SQL 注入攻擊中，威脅行動者將惡意構(gòu)造的 SQL 查詢“注入”數(shù)據(jù)庫查詢中所使用的字段或參數(shù)中，利用應(yīng)用程序中的漏洞來執(zhí)行非計劃SQL命令如提取、操作或刪除存儲在數(shù)據(jù)庫中的敏感數(shù)據(jù)。 因與目標(biāo)數(shù)據(jù)庫交互的 web 應(yīng)用或軟件中的輸入驗證和清理不當(dāng)，這可導(dǎo)致機密數(shù)據(jù)越權(quán)訪問、數(shù)據(jù)泄露甚至是目標(biāo)系統(tǒng)遭完全接管，CISA 和 FBI 建議使用實現(xiàn)寫好語句的參數(shù)化査詢，阻止SQL注入漏洞。這種方法將SQL代碼與用戶數(shù)據(jù)加以區(qū)分，使得惡意輸入不可能被解釋為 SQL語句。與輸入清理技術(shù)相比，參數(shù)化査詢時設(shè)計安全方法的更好選擇，因為前者可被繞過且難以大規(guī)模執(zhí)行。 SQL注入漏洞在MITRE 于2021年和2022年發(fā)布的“前25個最危險的漏洞"中排行第三，僅次于越界寫入漏洞和跨站腳本攻擊。越界寫入漏洞是一種軟件漏洞，會導(dǎo)致程序在分配的內(nèi)存區(qū)域邊界之外寫入。端點崩潰，或者執(zhí)行任意代碼等后果。威脅行為者通常通過寫入比分配的內(nèi)存區(qū)域的大小更大的數(shù)據(jù)或?qū)?shù)據(jù)寫入內(nèi)存區(qū)域內(nèi)的錯誤位置來濫用此漏洞。

CISA 和 FBI 指出，"如果他們發(fā)現(xiàn)代碼存在漏洞，高管們應(yīng)當(dāng)確保所在組織機構(gòu)的軟件開發(fā)人員立即開始執(zhí)行緩解措施，從所有當(dāng)前和未來軟件產(chǎn)品中消除整個缺陷類型。在設(shè)計階段直到開發(fā)、發(fā)布和更新階段集成該緩解措施，可以緩解客戶的網(wǎng)絡(luò)安全負擔(dān)以及公眾所面臨的風(fēng)險。

幾十年來，軟件行業(yè)一直知道如何大規(guī)模消除 SQLi 缺陷。然而，威脅分子去年就利用了開發(fā)商 Progress 的 MOVEit 文件傳輸軟件中的這樣一個漏洞，造成了毀滅性的后果。 去年5月， Clop 勒索團伙利用了 Progress MOVEit Transfer文件傳輸管理 app 中的一個 SQLi 零日漏洞，該漏洞影響全球數(shù)千家組織機構(gòu)，隨后 CISA 和 FBI 立即發(fā)布了聯(lián)合告警。盡管此案的受害者眾多，但Coveware認為僅有少部分受害者可能會支付贖金。即便如此，據(jù)估計該勒索團伙可能獲得的贖金仍在750萬到1億美元之間。

據(jù) CISA 稱，SQLi 攻擊之所以能夠得逞，是因為開發(fā)人員沒有將用戶提供的內(nèi)容視為潛在的惡意內(nèi)容。它不僅會導(dǎo)致敏感數(shù)據(jù)被盜，還會使壞人篡改、刪除數(shù)據(jù)庫中的信息或使其不可用。

警報敦促技術(shù)制造商遵循三項指導(dǎo)原則：

• 通過執(zhí)行正式的代碼審查并使用“帶有參數(shù)化查詢的預(yù)制語句”作為標(biāo)準(zhǔn)做法，對客戶安全結(jié)果負責(zé) 
• 通過確保 CVE 記錄的正確性和完整性、記錄漏洞的根本原因并努力消除整個類別的漏洞，實現(xiàn)“徹底”的透明度和問責(zé)制 
• 將業(yè)務(wù)目標(biāo)重新調(diào)整為安全設(shè)計軟件開發(fā)，包括進行正確的投資和建立激勵結(jié)構(gòu)。這最終有助于降低財務(wù)和生產(chǎn)力成本以及復(fù)雜性 

CISA 和 FBI 督促技術(shù)制造企業(yè)管理層對所在組織機構(gòu)的軟件提起正式審計并執(zhí)行緩解措施，在軟件交付前消除SQL注入(SQLi) 漏洞。

參考來源：https://www.infosecurity-magazine.com/news/cisa-fbi-renewed-effort-eliminate/