CISA y el FBI alertan sobre vulnerabilidades de inyección SQL
Las vulnerabilidades de inyección SQL, a menudo abreviadas como SQLi, persisten como un problema importante en los productos de software comercial. En respuesta a una reciente y muy publicitada campaña maliciosa que explotaba vulnerabilidades SQLi en una aplicación de transferencia de archivos gestionada, que afectó a multitud de organizaciones, CISA y el FBI emitieron la alerta Secure by Design. Aconsejan a los altos ejecutivos de las empresas de fabricación de tecnología que lleven a cabo un examen exhaustivo de su código para identificar posibles vulnerabilidades SQLi. En caso de que se descubran vulnerabilidades, los altos ejecutivos deben asegurarse de que sus organizaciones apliquen rápidamente medidas para eliminarlas de todos los productos actuales y futuros. Además, instan a todos los clientes de tecnología a que pregunten si sus proveedores han llevado a cabo tales revisiones.
¿Qué son las vulnerabilidades de inyección SQL?
Las vulnerabilidades SQLi se producen cuando los datos proporcionados por el usuario se insertan directamente en un comando SQL, lo que permite a los malintencionados ejecutar consultas arbitrarias. Estas vulnerabilidades se deben a que los desarrolladores descuidan las mejores prácticas de seguridad, lo que lleva a mezclar consultas a bases de datos con datos proporcionados por el usuario. Los atacantes inyectan consultas SQL manipuladas en los campos de entrada, aprovechando los puntos débiles de los protocolos de seguridad de las aplicaciones. Estos campos, cuando no están protegidos adecuadamente, pueden malinterpretar el código malicioso como comandos legítimos, lo que puede dar lugar a filtraciones de datos, accesos no autorizados o incluso la ocupación completa del sistema.
Combatir la amenaza
Los fabricantes de software pueden evitar las inyecciones SQL implementando consultas parametrizadas con sentencias preparadas durante las fases de diseño y desarrollo. Este enfoque separa el código SQL de los datos suministrados por el usuario, mitigando el riesgo de que una entrada maliciosa sea interpretada como código ejecutable. CISA y el FBI recomiendan a los fabricantes que adopten principios de desarrollo seguro, como asumir la propiedad de los resultados de seguridad del cliente, adoptar la transparencia y la responsabilidad en la divulgación de vulnerabilidades y crear estructuras organizativas que den prioridad a la seguridad.
La gravedad de las vulnerabilidades de inyección SQL se ve subrayada por su clasificación como la tercera debilidad de software más crítica según MITRE. Esto pone de relieve la urgente necesidad de que los fabricantes de software actúen de forma rápida y exhaustiva para solucionar estas vulnerabilidades en todos los productos actuales y futuros.
Conclusión
El aviso conjunto se produce tras una reciente oleada de ataques de ransomware Clop que explotaban una vulnerabilidad SQLi de día cero en Progress MOVEit Transfer, una popular aplicación de transferencia de archivos. Esta campaña afectó a miles de organizaciones en todo el mundo, poniendo de relieve el amplio impacto que pueden tener este tipo de vulnerabilidades.
Al imponer el uso de consultas parametrizadas, realizar revisiones formales del código, revelar las vulnerabilidades de forma transparente e invertir en medidas de seguridad, los fabricantes pueden reducir significativamente el riesgo de ataques de inyección SQL y mejorar la seguridad general del producto.
Las fuentes de este artículo incluyen un artículo de BleepingComputer.