MITRE publie une nouvelle liste des 25 bogues logiciels les plus dangereux
MITRE a partagé aujourd’hui la liste de cette année des 25 principales faiblesses les plus dangereuses qui ont affligé les logiciels au cours des deux années précédentes.
Les faiblesses logicielles englobent un large éventail de problèmes, notamment des failles, des bogues, des vulnérabilités et des erreurs dans le code, l’architecture, la mise en œuvre ou la conception des solutions logicielles.
Des faiblesses peuvent mettre en danger la sécurité des systèmes sur lesquels le logiciel est installé et en cours d’exécution. Ils peuvent fournir un point d’entrée aux acteurs malveillants qui tentent de prendre le contrôle des appareils concernés, d’accéder à des données sensibles ou de déclencher des états de déni de service.
« Ces faiblesses entraînent de graves vulnérabilités dans les logiciels. Un attaquant peut souvent exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté, voler des données ou empêcher les applications de fonctionner », a averti CISA aujourd’hui.
Pour créer cette liste, MITRE a noté chaque faiblesse en fonction de sa gravité et de sa prévalence après avoir analysé 43 996 entrées CVE de la base de données nationale des vulnérabilités (NVD) du NIST pour les vulnérabilités découvertes et signalées en 2021 et 2022, et un accent sur les enregistrements CVE ajoutés aux vulnérabilités exploitées connues de CISA. (KEV) catalogue.
« Après le processus de collecte, de portée et de remappage, une formule de notation a été utilisée pour calculer un ordre de classement des faiblesses qui combine la fréquence (le nombre de fois qu’un CWE est la cause première d’une vulnérabilité), avec la gravité moyenne de chacun de ces vulnérabilités lorsqu’elles sont exploitées (mesurées par le score CVSS) », a déclaré MITRE.
« Dans les deux cas, la fréquence et la gravité sont normalisées par rapport aux valeurs minimales et maximales observées dans l’ensemble de données. »
Les 25 principales faiblesses de MITRE en 2023 sont dangereuses en raison de leur impact significatif et de leur occurrence généralisée dans les logiciels publiés au cours des deux dernières années.
Une exploitation réussie peut permettre aux attaquants de prendre le contrôle total des systèmes ciblés, de récolter et d’exfiltrer des données sensibles ou de déclencher un déni de service (DoS).
En partageant cette liste, MITRE fournit à la communauté élargie des informations précieuses concernant les faiblesses de sécurité logicielle les plus critiques qui nécessitent une attention immédiate.
| Rang | IDENTIFIANT | Nom | Score | CVE dans KEV | Changement de rang |
|---|---|---|---|---|---|
| 1 | CWE-787 | Écriture hors limites | 63,72 | 70 | 0 |
| 2 | CWE-79 | Neutralisation incorrecte des entrées lors de la génération de pages Web (« Cross-site Scripting ») | 45,54 | 4 | 0 |
| 3 | CWE-89 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (« SQL Injection ») | 34.27 | 6 | 0 |
| 4 | CWE-416 | Utiliser après gratuit | 16.71 | 44 | +3 |
| 5 | CWE-78 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande de système d’exploitation (« injection de commande de système d’exploitation ») | 15.65 | 23 | +1 |
| 6 | CWE-20 | Validation d’entrée incorrecte | 15.50 | 35 | -2 |
| 7 | CWE-125 | Lecture hors limites | 14h60 | 2 | -2 |
| 8 | CWE-22 | Limitation incorrecte d’un chemin d’accès à un répertoire restreint (« Path Traversal ») | 14.11 | 16 | 0 |
| 9 | CWE-352 | Contrefaçon de requête intersite (CSRF) | 11.73 | 0 | 0 |
| dix | CWE-434 | Téléchargement illimité de fichiers de type dangereux | 10.41 | 5 | 0 |
| 11 | CWE-862 | Autorisation manquante | 6,90 | 0 | +5 |
| 12 | CWE-476 | Déréférencement du pointeur NULL | 6,59 | 0 | -1 |
| 13 | CWE-287 | Authentification incorrecte | 6.39 | dix | +1 |
| 14 | CWE-190 | Débordement d’entier ou bouclage | 5,89 | 4 | -1 |
| 15 | CWE-502 | Désérialisation des données non fiables | 5.56 | 14 | -3 |
| 16 | CWE-77 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande (« Command Injection ») | 4,95 | 4 | +1 |
| 17 | CWE-119 | Restriction incorrecte des opérations dans les limites d’une mémoire tampon | 4,75 | 7 | +2 |
| 18 | CWE-798 | Utilisation d’informations d’identification codées en dur | 4.57 | 2 | -3 |
| 19 | CWE-918 | Contrefaçon de requête côté serveur (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Authentification manquante pour la fonction critique | 3,78 | 8 | -2 |
| 21 | CWE-362 | Exécution simultanée à l’aide d’une ressource partagée avec une synchronisation incorrecte (« Condition de concurrence ») | 3.53 | 8 | +1 |
| 22 | CWE-269 | Mauvaise gestion des privilèges | 3.31 | 5 | +7 |
| 23 | CWE-94 | Mauvais contrôle de la génération de code (« Code Injection ») | 3h30 | 6 | +2 |
| 24 | CWE-863 | Autorisation incorrecte | 3.16 | 0 | +4 |
| 25 | CWE-276 | Autorisations par défaut incorrectes | 3.16 | 0 | -5 |
Avertissements concernant les bogues logiciels et matériels
Dans un effort de collaboration impliquant les autorités de cybersécurité du monde entier, une compilation complète des 15 principales vulnérabilités couramment exploitées dans les attaques tout au long de 2021 a été publiée en avril 2022. Cette entreprise conjointe a impliqué des organisations notables telles que la NSA et le FBI.
En outre, un inventaire des bogues régulièrement exploités en 2020 a été divulgué par la CISA et le FBI en collaboration avec l’Australian Cyber Security Center (ACSC) et le National Cyber Security Center (NCSC) du Royaume-Uni.
La CISA et le FBI ont également partagé un catalogue présentant les 10 failles de sécurité les plus fréquemment exploitées entre 2016 et 2019.
Enfin, MITRE propose également une liste décrivant les failles de sécurité de programmation, de conception et d’architecture les plus dangereuses qui affectent les systèmes matériels.
« CISA encourage les développeurs et les équipes d’intervention en matière de sécurité des produits à examiner le Top 25 CWE et à évaluer les mesures d’atténuation recommandées pour déterminer celles qui conviennent le mieux à adopter », a ajouté CISA aujourd’hui.
« Au cours des prochaines semaines, le programme CWE publiera une série d’articles supplémentaires sur la méthodologie CWE Top 25, les tendances de cartographie des vulnérabilités et d’autres informations utiles qui aident à illustrer comment la gestion des vulnérabilités joue un rôle important dans le changement de l’équilibre des risques de cybersécurité. «