Support technique
Documentation
Connexion
Nous contacter
Les vulnérabilités liées aux injections SQL, souvent abrégées en SQLi, restent un problème important dans les logiciels commerciaux. En réponse à une récente campagne malveillante très médiatisée exploitant les vulnérabilités SQLi dans une application de transfert de fichiers gérée, qui a eu un impact sur une multitude d'organisations, la CISA et le FBI ont publié l'alerte "Secure by Design". Ils conseillent aux cadres supérieurs des entreprises technologiques de procéder à un examen approfondi de leur code afin d'identifier les vulnérabilités SQLi potentielles. Si des vulnérabilités sont découvertes, les cadres supérieurs doivent veiller à ce que leur organisation mette rapidement en œuvre des mesures visant à les éliminer de tous les produits actuels et futurs. En outre, ils conseillent vivement à tous les clients du secteur technologique de se renseigner pour savoir si leurs fournisseurs ont procédé à de tels examens.
Qu'est-ce qu'une vulnérabilité par injection SQL ?
Les vulnérabilités SQLi se produisent lorsque des données fournies par l'utilisateur sont directement insérées dans une commande SQL, ce qui permet à des acteurs malveillants d'exécuter des requêtes arbitraires. Ces vulnérabilités sont dues au fait que les développeurs négligent les meilleures pratiques en matière de sécurité, ce qui conduit à mélanger des requêtes de base de données avec des données fournies par l'utilisateur. Les attaquants injectent dans les champs de saisie des requêtes SQL élaborées, en exploitant les faiblesses des protocoles de sécurité des applications. Ces champs, lorsqu'ils ne sont pas correctement sécurisés, peuvent interpréter le code malveillant comme des commandes légitimes, ce qui peut entraîner des violations de données, des accès non autorisés, voire des prises de contrôle complètes du système.
Lutte contre la menace
Les fabricants de logiciels peuvent prévenir les injections SQL en mettant en œuvre des requêtes paramétrées avec des instructions préparées pendant les phases de conception et de développement. Cette approche sépare le code SQL des données fournies par l'utilisateur, ce qui réduit le risque que des données malveillantes soient interprétées comme du code exécutable. La CISA et le FBI recommandent aux fabricants d'adopter des principes de développement sécurisés, tels que l'appropriation des résultats en matière de sécurité des clients, la transparence et la responsabilité dans la divulgation des vulnérabilités, et la mise en place de structures organisationnelles qui accordent la priorité à la sécurité.
La gravité des vulnérabilités par injection SQL est soulignée par le fait qu'elles se classent au troisième rang des faiblesses logicielles les plus critiques selon MITRE. Il est donc urgent que les fabricants de logiciels agissent rapidement et de manière globale pour remédier à ces vulnérabilités dans tous leurs produits actuels et futurs.
Conclusion
Cet avis commun fait suite à une récente vague d'attaques par ransomware Clop qui exploitait une vulnérabilité SQLi de type "zero-day" dans Progress MOVEit Transfer, une application de transfert de fichiers très répandue. Cette campagne a touché des milliers d'organisations dans le monde entier, soulignant l'impact considérable que de telles vulnérabilités peuvent avoir.
En imposant l'utilisation de requêtes paramétrées, en procédant à des examens formels du code, en divulguant les vulnérabilités de manière transparente et en investissant dans des mesures de sécurité, les fabricants peuvent réduire de manière significative le risque d'attaques par injection SQL et améliorer la sécurité globale de leurs produits.
Les sources de cet article comprennent un article de BleepingComputer.
