Die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben einen Sicherheitshinweis namens „Secure by Design“ herausgegeben, um auf SQL-Injection-Schwachstellen in Software hinzuweisen, die Tausende von Organisationen betreffen.

Trotz bekannter Risiken und verfügbarer Gegenmaßnahmen bleiben SQL-Injection-Schwachstellen, eine hartnäckige Klasse von Softwarefehlern, in kommerziellen Softwarelösungen bestehen und gefährden zahlreiche Nutzer.

Was sind SQL-Injection-Schwachstellen?

SQL-Injection-Schwachstellen entstehen, wenn Benutzereingaben direkt in SQL-Befehle eingefügt werden, wodurch Angreifern das Ausführen willkürlicher Abfragen ermöglicht wird. Die Wurzel dieses Problems liegt oft in der Vernachlässigung von Sicherheitsbest Practices durch Softwareentwickler, indem sie benutzergenerierte Daten mit Datenbankabfragen kombinieren.

Wie lassen sich SQL-Injection-Schwachstellen eliminieren?

Entwickler können SQL-Injection-Schwachstellen vermeiden, indem sie bei der Softwareentwicklung vorbereitete Aussagen in parametrisierten Abfragen verwenden, um SQL-Code von benutzergenerierten Daten zu trennen.

CISA und das FBI fordern Technologiehersteller auf, eine formale Überprüfung ihres Codes durchzuführen, um Anfälligkeiten für SQL-Injection-Angriffe zu identifizieren und empfehlen allen Technologiekunden, ihre Anbieter zu fragen, ob eine solche Überprüfung stattgefunden hat.

Drei grundlegende Prinzipien für die Entwicklung sicherer Software

  1. Übernahme der Verantwortung für die Sicherheit der Kunden: Softwarehersteller sollten gebräuchliche Praktiken wie vorbereitete Aussagen mit parametrisierten Abfragen anwenden und die Verantwortung für die Sicherheit ihrer Kunden übernehmen, beginnend mit formalen Codeprüfungen zur Bewertung von Schwachstellen.
  2. Radikale Transparenz und Verantwortung: Softwarehersteller sollten über Schwachstellen in ihren Produkten informieren und durch die CVE-Initiative transparent machen. Die Genauigkeit aller Informationen in ihren CVE-Einträgen muss gewährleistet sein.
  3. Aufbau einer Organisationsstruktur und Führung zur Erreichung dieser Ziele: Als erklärtes Unternehmensziel sollten Führungskräfte die richtigen Anreizprogramme erstellen und in die notwendigen Ressourcen für die Sicherheit investieren.

CISA und das FBI ermutigen Hersteller, ihre eigene „Secure by Design“-Roadmap zu veröffentlichen, um zu demonstrieren, dass sie ihre Rolle bei der Gewährleistung der Sicherheit ihrer Kunden strategisch neu bewerten, anstatt sich nur auf taktische Sicherheitsmaßnahmen zu verlassen.