¿SQLi en tus aplicaciones? ¡No te da vergüenza!

Dos organismos gubernamentales de EE.UU. han instado a los proveedores de tecnología a eliminar la clase "imperdonable" de vulnerabilidades conocida como inyección SQL (SQLi).

La alerta de "seguridad por diseño" fue emitida el 25 de marzo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI.

Afirma que la industria del software ha sabido cómo eliminar los defectos de SQLi a escala durante décadas. Sin embargo, los actores de amenazas pudieron explotar precisamente una vulnerabilidad de este tipo en el software de transferencia de archivos MOVEit del desarrollador Progress el año pasado, con un efecto devastador.

Se cree que la banda de ransomware Clop ganó hasta 100 millones de dólares con la campaña, que resultó en la filtración de datos de miles de clientes corporativos de MOVEit, lo que afectó los datos personales de decenas de millones de clientes intermedios.

"A pesar del conocimiento y la documentación generalizados de las vulnerabilidades de SQLi durante las últimas dos décadas, junto con la disponibilidad de mitigaciones efectivas, los fabricantes de software continúan desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes", señala la alerta.

"CISA y el FBI instan a los altos ejecutivos de las empresas de fabricación de tecnología a realizar una revisión formal de su código para determinar su susceptibilidad a compromisos SQLi. Si se encuentran vulnerables, los altos ejecutivos deben asegurarse de que los desarrolladores de software de sus organizaciones comiencen a implementar de inmediato mitigaciones para eliminar toda esta clase de defecto de todos los productos de software actuales y futuros".

Los ataques SQLi tienen éxito porque los desarrolladores no tratan el contenido proporcionado por el usuario como potencialmente malicioso, según CISA. Puede resultar no solo en el robo de datos confidenciales, sino también permitir que los delincuentes alteren, eliminen o hagan que la información no esté disponible en una base de datos.

La alerta instaba a los fabricantes de tecnología a seguir tres principios rectores:

• Asumir la responsabilidad de los resultados de seguridad del cliente mediante la realización de revisiones formales del código y el uso de "declaraciones preparadas con consultas parametrizadas" como práctica estándar.
• Adoptar la transparencia y la responsabilidad "radical" garantizando que los registros CVE sean correctos y completos, documentando las causas fundamentales de las vulnerabilidades y trabajando para eliminar clases enteras de vulnerabilidad.
• Realinear los objetivos comerciales hacia el desarrollo de software seguro desde el diseño, incluida la realización de las inversiones adecuadas y la creación de estructuras de incentivos. En última instancia, esto podría ayudar a reducir los costos financieros y de productividad, así como la complejidad.

Para obtener más información sobre los principios recomendados y las mejores prácticas para lograr este objetivo, visite la página Secure by Design de CISA. Para ponerse al día con las publicaciones de esta serie, visite Secure by Design Alerts.

Fuente: Infosecurity-Magazine.

Suscríbete a nuestro Boletín