3月25日（本周一），網絡安全與基礎設施安全局（CISA）和聯邦調查局（FBI）發布了 "安全設計 "警報。他們將 SQL 注入漏洞（SQLi）歸入"不可饒恕的 "一類漏洞。

警報指出：盡管在過去二十年中，人們普遍了解并記錄了 SQLi 漏洞，而且也有了有效的緩解措施，但軟件制造商仍在繼續開發存在這一缺陷的產品，這使許多客戶面臨風險。

在 SQL 注入攻擊中，威脅行動者將惡意構造的 SQL 查詢“注入”數據庫查詢中所使用的字段或參數中，利用應用程序中的漏洞來執行非計劃SQL命令如提取、操作或刪除存儲在數據庫中的敏感數據。 因與目標數據庫交互的 web 應用或軟件中的輸入驗證和清理不當，這可導致機密數據越權訪問、數據泄露甚至是目標系統遭完全接管，CISA 和 FBI 建議使用實現寫好語句的參數化査詢，阻止SQL注入漏洞。這種方法將SQL代碼與用戶數據加以區分，使得惡意輸入不可能被解釋為 SQL語句。與輸入清理技術相比，參數化査詢時設計安全方法的更好選擇，因為前者可被繞過且難以大規模執行。 SQL注入漏洞在MITRE 于2021年和2022年發布的“前25個最危險的漏洞"中排行第三，僅次于越界寫入漏洞和跨站腳本攻擊。越界寫入漏洞是一種軟件漏洞，會導致程序在分配的內存區域邊界之外寫入。端點崩潰，或者執行任意代碼等后果。威脅行為者通常通過寫入比分配的內存區域的大小更大的數據或將數據寫入內存區域內的錯誤位置來濫用此漏洞。

CISA 和 FBI 指出，"如果他們發現代碼存在漏洞，高管們應當確保所在組織機構的軟件開發人員立即開始執行緩解措施，從所有當前和未來軟件產品中消除整個缺陷類型。在設計階段直到開發、發布和更新階段集成該緩解措施，可以緩解客戶的網絡安全負擔以及公眾所面臨的風險。

幾十年來，軟件行業一直知道如何大規模消除 SQLi 缺陷。然而，威脅分子去年就利用了開發商 Progress 的 MOVEit 文件傳輸軟件中的這樣一個漏洞，造成了毀滅性的后果。 去年5月， Clop 勒索團伙利用了 Progress MOVEit Transfer文件傳輸管理 app 中的一個 SQLi 零日漏洞，該漏洞影響全球數千家組織機構，隨后 CISA 和 FBI 立即發布了聯合告警。盡管此案的受害者眾多，但Coveware認為僅有少部分受害者可能會支付贖金。即便如此，據估計該勒索團伙可能獲得的贖金仍在750萬到1億美元之間。

據 CISA 稱，SQLi 攻擊之所以能夠得逞，是因為開發人員沒有將用戶提供的內容視為潛在的惡意內容。它不僅會導致敏感數據被盜，還會使壞人篡改、刪除數據庫中的信息或使其不可用。

警報敦促技術制造商遵循三項指導原則：

• 通過執行正式的代碼審查并使用“帶有參數化查詢的預制語句”作為標準做法，對客戶安全結果負責 
• 通過確保 CVE 記錄的正確性和完整性、記錄漏洞的根本原因并努力消除整個類別的漏洞，實現“徹底”的透明度和問責制 
• 將業務目標重新調整為安全設計軟件開發，包括進行正確的投資和建立激勵結構。這最終有助于降低財務和生產力成本以及復雜性 

CISA 和 FBI 督促技術制造企業管理層對所在組織機構的軟件提起正式審計并執行緩解措施，在軟件交付前消除SQL注入(SQLi) 漏洞。

參考來源：https://www.infosecurity-magazine.com/news/cisa-fbi-renewed-effort-eliminate/