MITRE a partagé cette année le top 25 des faiblesses logicielles les plus courantes et les plus dangereuses derrière plus de 31 000 vulnérabilités divulguées entre juin 2023 et juin 2024.
Les faiblesses logicielles font référence aux défauts, bogues, vulnérabilités et erreurs trouvés dans le code, l’architecture, la mise en œuvre ou la conception du logiciel.
Les attaquants peuvent les exploiter pour pirater les systèmes sur lesquels les logiciels vulnérables sont exécutés, leur permettant ainsi de prendre le contrôle des appareils concernés et d’accéder à des données sensibles ou de déclencher des attaques par déni de service.
« Souvent faciles à trouver et à exploiter, ces vulnérabilités peuvent conduire à des vulnérabilités exploitables qui permettent à des adversaires de prendre complètement le contrôle d’un système, de voler des données ou d’empêcher le fonctionnement d’applications », a déclaré MITRE. dit aujourd’hui.
« Découvrir les causes profondes de ces vulnérabilités constitue un guide puissant pour les investissements, les politiques et les pratiques visant à empêcher que ces vulnérabilités ne se produisent en premier lieu, ce qui profite à la fois aux parties prenantes de l’industrie et du gouvernement. »
Pour créer le classement de cette année, MITRE a noté chaque faiblesse en fonction de sa gravité et de sa fréquence après avoir analysé 31 770 enregistrements CVE pour les vulnérabilités qui « bénéficieraient d’une analyse de remappage » et signalées entre 2023 et 2024, en mettant l’accent sur les failles de sécurité ajoutées au classement de CISA. Vulnérabilités exploitées connues (KEV) catalogue.
« Cette liste annuelle identifie les faiblesses logicielles les plus critiques que les adversaires exploitent fréquemment pour compromettre les systèmes, voler des données sensibles ou perturber les services essentiels », CISA ajouté aujourd’hui.
« Les organisations sont fortement encouragées à consulter cette liste et à l’utiliser pour éclairer leurs stratégies de sécurité logicielle. Donner la priorité à ces faiblesses dans les processus de développement et d’approvisionnement permet d’éviter les vulnérabilités au cœur du cycle de vie des logiciels.
| Rang | IDENTIFIANT | Nom | Score | CVE KEV | Changement |
|---|---|---|---|---|---|
| 1 | CWE-79 | Scripts intersites | 56,92 | 3 | +1 |
| 2 | CWE-787 | Écriture hors limites | 45h20 | 18 | -1 |
| 3 | CWE-89 | Injection SQL | 35,88 | 4 | 0 |
| 4 | CWE-352 | Contrefaçon de demande intersite (CSRF) | 19h57 | 0 | +5 |
| 5 | CWE-22 | Traversée du chemin | 12.74 | 4 | +3 |
| 6 | CWE-125 | Lecture hors limites | 11h42 | 3 | +1 |
| 7 | CWE-78 | Injection de commandes du système d’exploitation | 11h30 | 5 | -2 |
| 8 | CWE-416 | Utiliser après gratuitement | 10.19 | 5 | -4 |
| 9 | CWE-862 | Autorisation manquante | 10.11 | 0 | +2 |
| 10 | CWE-434 | Téléchargement sans restriction d’un fichier de type dangereux | 10.03 | 0 | 0 |
| 11 | CWE-94 | Injection de code | 7.13 | 7 | +12 |
| 12 | CWE-20 | Validation d’entrée incorrecte | 6,78 | 1 | -6 |
| 13 | CWE-77 | Injection de commandes | 6,74 | 4 | +3 |
| 14 | CWE-287 | Authentification incorrecte | 5,94 | 4 | -1 |
| 15 | CWE-269 | Gestion inappropriée des privilèges | 5.22 | 0 | +7 |
| 16 | CWE-502 | Désérialisation des données non fiables | 5.07 | 5 | -1 |
| 17 | CWE-200 | Exposition d’informations sensibles à un acteur non autorisé | 5.07 | 0 | +13 |
| 18 | CWE-863 | Autorisation incorrecte | 4.05 | 2 | +6 |
| 19 | CWE-918 | Falsification de requêtes côté serveur (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Restriction d’opérations incorrectes dans les limites de la mémoire tampon | 3,69 | 2 | -3 |
| 21 | CWE-476 | Déréférencement de pointeur NULL | 3,58 | 0 | -9 |
| 22 | CWE-798 | Utilisation d’informations d’identification codées en dur | 3.46 | 2 | -4 |
| 23 | CWE-190 | Débordement d’entier ou bouclage | 3.37 | 3 | -9 |
| 24 | CWE-400 | Consommation incontrôlée de ressources | 3.23 | 0 | +13 |
| 25 | CWE-306 | Authentification manquante pour une fonction critique | 2,73 | 5 | -5 |
CISA publie également régulièrement des alertes « Secure by Design » soulignant la prévalence de vulnérabilités largement connues et documentées qui n’ont pas encore été éliminées des logiciels malgré les mesures d’atténuation disponibles et efficaces.
Certaines ont été émises en réponse à des activités malveillantes en cours, comme une alerte de juillet demandant aux fournisseurs d’éliminer les vulnérabilités d’injection de commandes du système d’exploitation exploitées par les pirates informatiques chinois Velvet Ant lors d’attaques récentes ciblant les périphériques de réseau Cisco, Palo Alto et Ivanti.
En mai et mars, l’agence de cybersécurité a publié deux autres alertes « Secure by Design » exhortant les responsables techniques et les développeurs de logiciels à prévenir les vulnérabilités de traversée de chemin et d’injection SQL (SQLi) dans leurs produits et leur code.
La CISA a également exhorté les fournisseurs de technologies à cesser de livrer des logiciels et des appareils avec des mots de passe par défaut et les fabricants de routeurs pour petits bureaux/bureaux à domicile (SOHO) afin de les protéger contre les attaques Volt Typhoon.
La semaine dernière, le FBI, la NSA et les autorités de cybersécurité de Five Eyes ont publié une liste des 15 principales vulnérabilités de sécurité régulièrement exploitées l’année dernière, avertissant que les attaquants se concentraient sur le ciblage des failles de sécurité zéro jour (failles de sécurité qui ont été révélées mais qui n’ont pas encore été corrigées). ).
« En 2023, la majorité des vulnérabilités les plus fréquemment exploitées étaient initialement exploitées comme un jour zéro, ce qui représente une augmentation par rapport à 2022, où moins de la moitié des vulnérabilités les plus exploitées étaient exploitées comme un jour zéro », ont-ils prévenu.
