CISA督促業者在產品出貨前檢查SQL注入漏洞

美國網路安全暨基礎設施安全局（CISA）與美國聯邦調查局（FBI）本周發布了安全設計警報（Secure by Design Alert），呼籲技術製造商在產品出貨前應該針對程式碼展開正式審查，以辨識任何的SQL注入（SQL Injection，SQLi）漏洞。

此一警報是源自於勒索軟體集團CL0P在2023年藉由檔案傳輸管理軟體MOVEit的零時差漏洞CVE-2023-34362，攻陷各大組織的前車之鑑而來，它即是個位於MOVEit Transfer網頁應用程式的SQL注入漏洞，允許未經授權的駭客存取MOVEit Transfer資料庫，進而推斷有關資料庫架構與內容的資訊，並執行可變更或刪除資料庫元素的SQL語法，受害者從政府組織、航空公司、教育機構、金融機構到醫療供應商，根據資安業者Emsisoft的統計，至少有超過2,700家組織被駭，波及逾9,000萬名使用者的個資。

圖片來源／CISA

CISA與FBI表示，儘管在過去20年來人們已廣泛理解SQLi漏洞，也有了有效的緩解措施，然而，軟體製造商依然繼續開發具備此一缺陷的產品，使得許多客戶面臨風險，就算自2007年開始，像SQLi這類的漏洞已被視為不可原諒的安全漏洞，但相關漏洞依舊普遍存在。例如SQLi類型漏洞CWE-89去年仍登上前25款最危險漏洞排行榜。

SQLi注入漏洞主要是因應用程式無法妥善驗證使用者所輸入的SQL查詢，使得駭客得以於輸入欄位注入惡意的SQL程式碼來操控查詢，在攸關SQLi的安全設計守則中，建議業者在開發軟體時，應該隔離SQL程式碼及使用者所輸入的資料，確保系統不把使用者的輸入視為SQL語法，例如強制使用參數化查詢。

CISA與FBI督促軟體製造商的高階主管針對其程式碼展開正式審查，以確定其對SQLi危害的敏感度，同時鼓勵它們的客戶詢問供應商是否曾進行該審查，此外，在發現漏洞時，應可確保其軟體開發商能立即從所有現在或未來的軟體產品中，緩解此類的安全漏洞。