출처
CISA urges software devs to weed out SQL injection vulnerabilities
CISA and the FBI urged executives of technology manufacturing companies to prompt formal reviews of their organizations' software and implement mitigations to eliminate SQL injection (SQLi) security vulnerabilities before shipping.
www.bleepingcomputer.com
본문 내용
CISA와 FBI는 기술 제조 기업의 경영진에게 조직의 소프트웨어를 공식적으로 검토하고, 출시 전에 SQL Injection(SQLi) 보안 취약점을 제거하기 위한 완화 조치를 시행할 것을 촉구했다. SQLi 공격에서 위협 행위자는 데이터베이스 쿼리에 사용되는 입력 필드 또는 매개 변수에 악의적으로 조작된 SQL 쿼리를 '삽입'하여 애플리케이션 보안의 취약점을 악용하여 데이터베이스에 저장된 민감한 데이터를 유출, 조작 또는 삭제하는 등 의도하지 않은 SQL 명령을 실행한다.
이로 인해 기밀 데이터에 대한 무단 액세스, 데이터 유출, 심지어 표적 데이터베이스와 상호 작용하는 웹 애플리케이션 또는 소프트웨어의 부적절한 입력 검증 및 살균으로 인해 표적 시스템의 완전한 장악으로 이어질 수 있다. CISA와 FBI는 SQLi 취약점을 방지하기 위해 준비된 문(Prepared statements)과 함께 매개변수화된 쿼리를 사용할 것을 권장한다. 이 접근 방식은 SQL 코드와 사용자 데이터를 분리하여 악의적인 입력이 SQL 문으로 해석되는 것을 불가능하게 한다.
매개변수화된 쿼리는 입력 살균(삭제) 기술에 비해 설계상 보안 접근 방식에 더 나은 옵션이다. 후자는 우회할 수 있고, 대규모로 적용하기 어렵기 때문이다. SQLi 취약점은 2021년부터 2022년까지 소프트웨어를 괴롭히는 가장 위험한 25가지 취약점 중 3위를 차지했으며, 범위를 벗어난 쓰기와 XSS에 이어 두 번째로 높은 순위를 차지했다.
"코드에 취약점이 있음을 발견하면 고위 경영진은 조직의 소프트웨어 개발자가 현재 및 미래의 모든 소프트웨어 제품에서 이러한 종류의 결함을 제거하기 위한 완화조치를 즉시 시행하도록 해야 한다."라고 CISA와 FBI는 말했다. ( 아래 참고에서 PDF 참조 )
"설계 단계부터 시작하여 개발, 출시 및 업데이트에 이르기까지 처음부터 이러한 완화 조치를 통합하면 고객의 사이버 보안 부담과 대중에 대한 위험을 줄일 수 있다. "
CISA와 FBI는 2023년 5월에 시작된 Clop 랜섬웨어 해킹 공격에 대응하기 위해 이 공동 경보를 발령했으며, 전 세계 수천 개의 조직에 영향을 미치는 Progress MOVEit 전송 관리형 파일 전송 앱의 제로데이 SQLi 취약점을 표적으로 삼았다. 여러 미국 연방 기관과 두 곳의 미국 에너지부(DOE) 기관도 이러한 데이터 도난 공격의 피해자가 되었다.
피해자가 방대함에도 불구하고, Coveware의 추정에 따르면, Clop의 몸값 요구에 응한 피해자는 극소수에 불과한 것으로 나타났다. 그럼에도 불구하고 사이버 범죄 조직은 높은 몸값 요구로 인해 약 7500만 ~ 1억 달러의 돈을 받은 것으로 추정된다. 두 기관은 월요일에 " 지난 20년간 SQLi 취약성에 대한 지식과 문서가 널리 퍼져 있고 효과적인 완화 방법이 있음에도 불구하고 소프트웨어 제조업체는 이 결함이 있는 제품을 계속 개발하여 많은 고객을 위험에 빠트리고 있다"라고 말했다.
"SQLi와 같은 취약점은 적어도 2007년부터 다른 사람들에게 '용서할 수 없는 취약점'으로 여겨져 왔다. 이러한 발견에도 불구하고 SQL 취약점( ex: CWE-89 )은 여전히 널리 퍼져 있는 취약점 유형이다. " 지난달 백악관 국가사이버책임자실(ONCD)은 메모리 안전 취약점 수를 줄여, 소프트웨어 보안을 개선하기 위해 기술 기업들에게 메모리 안전 프로그래밍 언어(ex: Rust)로 전환할 것을 촉구했다. 또한 1월에 CISA는 소규모 사무실/홈 오피스(SOHO) 라우터 제조업체에 중국 국가 지원 해킹 그룹인 '볼트 타이푼'이 조직한 공격 등 지속적인 공격으로부터 디바이스의 보안을 보장할 것을 요청했다.
참고
