CISA und FBI veröffentlichen Warnung zu SQL-Injection-Schwachstellen
SQL-Injection-Schwachstellen, oft als SQLi abgekürzt, stellen nach wie vor ein großes Problem in kommerziellen Softwareprodukten dar. Als Reaktion auf eine kürzlich bekannt gewordene bösartige Kampagne, bei der SQLi-Schwachstellen in einer verwalteten Dateiübertragungsanwendung ausgenutzt wurden und die sich auf eine Vielzahl von Unternehmen auswirkte, haben die CISA und das FBI den Secure by Design Alert herausgegeben. Sie raten Führungskräften in technologieproduzierenden Unternehmen, ihren Code gründlich auf mögliche SQLi-Schwachstellen zu überprüfen. Sollten Schwachstellen entdeckt werden, sollten Führungskräfte dafür sorgen, dass ihr Unternehmen umgehend Maßnahmen ergreift, um diese Schwachstellen in allen aktuellen und zukünftigen Produkten zu beseitigen. Darüber hinaus fordern sie alle Technologiekunden auf, sich zu erkundigen, ob ihre Anbieter solche Überprüfungen durchgeführt haben.
Was sind SQL-Injection-Schwachstellen?
SQLi-Schwachstellen treten auf, wenn vom Benutzer bereitgestellte Eingaben direkt in einen SQL-Befehl eingefügt werden, wodurch böswillige Akteure die Möglichkeit erhalten, beliebige Abfragen auszuführen. Diese Schwachstellen sind darauf zurückzuführen, dass Entwickler bewährte Sicherheitspraktiken vernachlässigen, was zu einer Vermischung von Datenbankabfragen mit vom Benutzer bereitgestellten Daten führt. Angreifer injizieren manipulierte SQL-Abfragen in Eingabefelder und nutzen so Schwachstellen in den Sicherheitsprotokollen von Anwendungen aus. Wenn diese Felder nicht ordnungsgemäß gesichert sind, kann der bösartige Code als legitimer Befehl fehlinterpretiert werden, was zu Datenverletzungen, unbefugtem Zugriff oder sogar zur vollständigen Übernahme des Systems führen kann.
Kampf gegen die Bedrohung
Softwarehersteller können SQL-Injections verhindern, indem sie parametrisierte Abfragen mit vorbereiteten Anweisungen während der Entwurfs- und Entwicklungsphase implementieren. Dieser Ansatz trennt den SQL-Code von den vom Benutzer eingegebenen Daten und mindert so das Risiko, dass bösartige Eingaben als ausführbarer Code interpretiert werden. Die CISA und das FBI empfehlen den Herstellern, sichere Entwicklungsprinzipien zu übernehmen, wie z. B. die Übernahme der Verantwortung für die Sicherheitsergebnisse der Kunden, Transparenz und Verantwortlichkeit bei der Offenlegung von Schwachstellen und den Aufbau von Organisationsstrukturen, die der Sicherheit Priorität einräumen.
Die Schwere der SQL-Injection-Schwachstellen wird dadurch unterstrichen, dass sie laut MITRE die drittgrößte kritische Software-Schwachstelle darstellen. Dies unterstreicht die dringende Notwendigkeit für Softwarehersteller, schnell und umfassend zu handeln, um diese Schwachstellen in allen aktuellen und zukünftigen Produkten zu beheben.
Schlussfolgerung
Die gemeinsame Empfehlung erfolgt im Zuge der jüngsten Welle von Clop-Ransomware-Angriffen, die eine Zero-Day-SQLi-Schwachstelle in Progress MOVEit Transfer, einer beliebten Dateiübertragungsanwendung, ausnutzten. Diese Kampagne betraf Tausende von Unternehmen weltweit und verdeutlicht die weitreichenden Auswirkungen, die solche Schwachstellen haben können.
Indem sie die Verwendung von parametrisierten Abfragen erzwingen, formale Codeüberprüfungen durchführen, Schwachstellen transparent offenlegen und in Sicherheitsmaßnahmen investieren, können Hersteller das Risiko von SQL-Injection-Angriffen erheblich verringern und die allgemeine Produktsicherheit verbessern.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.