Dos organismos gubernamentales de EE.UU. han instado a los proveedores de
tecnología a eliminar la clase «imperdonable» de vulnerabilidades conocida
como inyección SQL (SQLi).

La alerta de «seguridad por diseño» fue emitida
el 25 de marzo por la Agencia de Seguridad de Infraestructura y Ciberseguridad
(CISA) y el FBI.

Afirma que la industria del software ha sabido cómo eliminar los defectos
de SQLi a escala durante décadas. Sin embargo, los actores de amenazas
pudieron explotar precisamente una vulnerabilidad de este tipo en el
software de transferencia de archivos MOVEit del desarrollador Progress el
año pasado, con un efecto devastador.

Se cree que la banda de ransomware Clop ganó hasta 100 millones de dólares con
la campaña, que resultó en la filtración de datos de miles de clientes
corporativos de MOVEit, lo que afectó los datos personales de decenas de
millones de clientes intermedios.

«A pesar del conocimiento y la documentación generalizados de las
vulnerabilidades de SQLi durante las últimas dos décadas, junto con la
disponibilidad de mitigaciones efectivas, los fabricantes de software
continúan desarrollando productos con este defecto, lo que pone en riesgo a
muchos clientes», señala la alerta.

«CISA y el FBI instan a los altos ejecutivos de las empresas de fabricación
de tecnología a realizar una revisión formal de su código para determinar su
susceptibilidad a compromisos SQLi. Si se encuentran vulnerables, los altos
ejecutivos deben asegurarse de que los desarrolladores de software de sus
organizaciones comiencen a implementar de inmediato mitigaciones para
eliminar toda esta clase de defecto de todos los productos de software
actuales y futuros».

Los ataques SQLi tienen éxito porque los desarrolladores no tratan el
contenido proporcionado por el usuario como potencialmente malicioso, según
CISA. Puede resultar no solo en el robo de datos confidenciales, sino también
permitir que los delincuentes alteren, eliminen o hagan que la información no
esté disponible en una base de datos.

La alerta instaba a los fabricantes de tecnología a seguir tres principios
rectores:

Asumir la responsabilidad de los resultados de seguridad del cliente
mediante la realización de revisiones formales del código y el uso de
«declaraciones preparadas con consultas parametrizadas»
como práctica estándar.

Adoptar la transparencia y la responsabilidad «radical» garantizando que los
registros CVE sean correctos y completos, documentando las causas
fundamentales de las vulnerabilidades y trabajando para eliminar clases
enteras de vulnerabilidad.

Realinear los objetivos comerciales hacia el desarrollo de software seguro
desde el diseño, incluida la realización de las inversiones adecuadas y la
creación de estructuras de incentivos. En última instancia, esto podría
ayudar a reducir los costos financieros y de productividad, así como la
complejidad.

Para obtener más información sobre los principios recomendados y las mejores prácticas para lograr este objetivo, visite la página Secure by Design de CISA. Para ponerse al día con las publicaciones de esta serie, visite Secure by Design Alerts.

Fuente:
Infosecurity-Magazine.

 

Facebook Comments

Artículo relacionadosMás del autor