CISA e FBI urgem fabricantes de software a eliminar vulnerabilidades de SQL injection

A CISA, agência de cibersegurança dos Estados Unidos, e o FBI emitiram um alerta ‘secure-by-design’, onde instou as organizações a reverem os seus produtos de software para eliminar vulnerabilidades de SQL injections, também conhecidas como SQLi.

“A CISA e o FBI incentivam os executivos seniores dos fabricantes de tecnologia a organizarem uma revisão formal do seu código para determinar a sua suscetibilidade a comprometimentos SQLi e incentivam todos os clientes de tecnologia a perguntarem aos seus fornecedores se conduziram tal revisão”, recomendam a CISA e o FBI no seu alerta.

Apesar da extensa documentação e das mitigações eficazes, as vulnerabilidades de SQL injection são uma ameaça persistente à segurança em software comercial. Segundo a CISA e o FBI, o ciberataque do ano passado à MOVEit Transfer, uma solução de transferência gerida de ficheiros (MFT) da Progress Software, demonstrou que os produtos vulneráveis à SQLi podem colocar em risco vários clientes.

As organizações, caso descubram estes bugs nos seus produtos, deverão implementar de imediato mitigações de forma a “eliminar toda esta classe de defeitos de todos os produtos de software atuais e futuros”.

Ambas as agências consideram que a adoção de uma abordagem de security-by-design no desenvolvimento de software é a chave para a eliminação de vulnerabilidades SQLi, garantindo uma proteção razoável dos produtos contra a sua exploração maliciosa.

“Incorporar esta mitigação desde o início – começando na fase de design e continuando através do desenvolvimento, lançamento e atualizações – reduz o fardo da cibersegurança para os clientes e o risco para o público”, afirmam.

As falhas SQLi possibilitam a inserção de entradas fornecidas pelo utilizador diretamente em comandos SQL, conduzindo à execução de queries arbitrárias e permitindo que os cibercriminosos obtenham dados confidenciais e adulterem as informações do banco de dados.

“As vulnerabilidades SQLi são causadas pela desatenção dos developers de software às melhores práticas de segurança, resultando na mistura de queries de banco de dados e dados fornecidos pelo utilizador”, observam a CISA e o FBI. “As SQL injections são bem-sucedidas porque os developers de software não tratam o conteúdo fornecido pelo utilizador como potencialmente malicioso”.

Como medida de prevenção, “os developers devem usar queries parametrizadas com instruções preparadas para separar o código SQL dos dados fornecidos pelo utilizador”. Desta forma, é possível assegurar que a entrada do utilizador não é tratada como código executável e interpretada como uma instrução SQL.

A CISA e o FBI aconselham ainda os fabricantes de software a assumir a responsabilidade pelos resultados de segurança dos clientes, assim como a adotar a transparência e a responsabilidade ao divulgar vulnerabilidades. Ainda mais, os fabricantes devem investir na construção de estruturas que promovam a segurança, alinhadas com os princípios de security-by-design.

“Os líderes devem destacar a importância de erradicar classes inteiras de vulnerabilidades, em vez de as abordar caso a caso. Além disso, os líderes devem estabelecer estruturas organizacionais que priorizem medidas proativas, como a adoção de práticas de codificação seguras, como queries parametrizadas, para criar segurança duradoura e reduzir a dependência de respostas reativas”, acrescentam as agências.