Un allarme congiunto di CISA e FBI sottolinea i rischi delle vulnerabilità SQLi e invoca l’azione dei produttori software.
Recentemente, la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) hanno emesso un avviso congiunto con un chiaro messaggio agli sviluppatori e ai produttori di software: è essenziale eliminare le vulnerabilità di iniezione SQL (SQLi) dai prodotti software. Questo appello nasce nell’ottica “Secure by Design”, un principio di sicurezza che assume particolare rilevanza di fronte all’inquietante persistenza delle vulnerabilità SQLi all’interno di applicazioni utilizzate da migliaia di organizzazioni.
Nonostante la consapevolezza diffusa circa le falle di sicurezza SQLi, documentate ampiamente negli ultimi venti anni, e la disponibilità di soluzioni per mitigarle, continuano a emergere prodotti che presentano tali carenze, esponendo gli utenti a rischi significativi. Il problema è stato messo sotto i riflettori da un caso recente e altamente pubblicizzato, in cui un’applicazione per il trasferimento di file gestito è stata compromessa a causa di difetti SQLi, impattando migliaia di organizzazioni.
La CISA e il FBI si rivolgono ai vertici delle aziende tecnologiche, esortandoli a effettuare un esame approfondito del proprio codice per identificare potenziali vulnerabilità. All’atto di rilevare punti deboli, è fondamentale che i responsabili aziendali adottino misure affinché i team di sviluppo correggano prontamente tali difetti nel software esistente e prevedano la progettazione sicura nei prodotti futuri.
L’allerta congiunta offre anche orientamenti su principi e pratiche consigliate per raggiungere l’obiettivo di un software progettato per essere sicuro sin dalla sua concezione. Potenziare la sicurezza del software non è solamente una responsabilità degli sviluppatori ma anche dei decision makers aziendali, che devono promuovere una cultura di cibersicurezza proattiva e incorporata nei processi di sviluppo.
Per ulteriori approfondimenti riguardo le misure raccomandate e le migliori pratiche da seguire, è possibile visitare la pagina di CISA dedicata alla “Secure by Design”. Questa iniziativa, oltre a dimostrare la serietà con cui gli enti governativi stanno affrontando il problema, risulta essere una risorsa preziosa per i professionisti del settore, che si trovano a gestire la sicurezza informatica di sistemi sempre più complessi e interconnessi.