MITRE a partagé la liste des 25 principales faiblesses logicielles les plus courantes et les plus dangereuses de cette année derrière plus de 31 000 vulnérabilités divulguées entre juin 2023 et juin 2024.
Les faiblesses logicielles désignent les failles, bogues, vulnérabilités et erreurs trouvés dans le code, l’architecture, la mise en œuvre ou la conception du logiciel.
Les attaquants peuvent les exploiter pour violer les systèmes sur lesquels le logiciel vulnérable est en cours d’exécution, ce qui leur permet de prendre le contrôle des appareils affectés et d’accéder à des données sensibles ou de déclencher des attaques par déni de service.
« Souvent faciles à trouver et à exploiter, celles-ci peuvent conduire à des vulnérabilités exploitables qui permettent à des adversaires de prendre complètement le contrôle d’un système, de voler des données ou d’empêcher les applications de fonctionner », a déclaré MITRE aujourd’hui.
« La découverte des causes profondes de ces vulnérabilités constitue un guide puissant pour les investissements, les politiques et les pratiques visant à empêcher ces vulnérabilités de se produire en premier lieu, ce qui profite à la fois aux intervenants de l’industrie et du gouvernement. »
Pour créer le classement de cette année, MITRE a noté chaque faiblesse en fonction de sa gravité et de sa fréquence après avoir analysé 31 770 enregistrements CVE pour des vulnérabilités qui « bénéficieraient d’une analyse de remappage » et signalées en 2023 et 2024, en mettant l’accent sur les failles de sécurité ajoutées au catalogue de vulnérabilités exploitées connues de CISA (KEV).
« Cette liste annuelle identifie les faiblesses logicielles les plus critiques que les adversaires exploitent fréquemment pour compromettre les systèmes, voler des données sensibles ou perturber des services essentiels », a ajouté CISA aujourd’hui.
« Les organisations sont fortement encouragées à consulter cette liste et à l’utiliser pour éclairer leurs stratégies de sécurité logicielle. La hiérarchisation de ces faiblesses dans les processus de développement et d’approvisionnement aide à prévenir les vulnérabilités au cœur du cycle de vie des logiciels. »
| Rank | ID | Nom | Score | KEV CVEs | Change |
|---|---|---|---|---|---|
| 1 | CWE-79 | Script intersite | 56.92 | 3 | +1 |
| 2 | CWE-787 | Écriture hors limites | 45.20 | 18 | -1 |
| 3 | CWE-89 | Injection SQL | 35.88 | 4 | 0 |
| 4 | CWE-352 | Falsification de requêtes intersites (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Traversée de Chemin | 12.74 | 4 | +3 |
| 6 | CWE-125 | Lecture hors limites | 11.42 | 3 | +1 |
| 7 | CWE-78 | Injection de Commandes du Système d’Exploitation | 11.30 | 5 | -2 |
| 8 | CWE-416 | Utiliser Après Gratuit | 10.19 | 5 | -4 |
| 9 | CWE-862 | Autorisation Manquante | 10.11 | 0 | +2 |
| 10 | CWE-434 | Téléchargement illimité de fichiers de Type dangereux | 10.03 | 0 | 0 |
| 11 | CWE-94 | Injection de Code | 7.13 | 7 | +12 |
| 12 | CWE-20 | Validation Incorrecte Des Entrées | 6.78 | 1 | -6 |
| 13 | CWE-77 | Injection de Commandes | 6.74 | 4 | +3 |
| 14 | CWE-287 | Authentification Incorrecte | 5.94 | 4 | -1 |
| 15 | CWE-269 | Mauvaise Gestion Des Privilèges | 5.22 | 0 | +7 |
| 16 | CWE-502 | Désérialisation des Données non fiables | 5.07 | 5 | -1 |
| 17 | CWE-200 | Exposition d’Informations sensibles à un Acteur non autorisé | 5.07 | 0 | +13 |
| 18 | CWE-863 | Autorisation Incorrecte | 4.05 | 2 | +6 |
| 19 | CWE-918 | Falsification de requêtes côté serveur (CSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Restriction incorrecte des Opérations dans les Limites de la mémoire tampon | 3.69 | 2 | -3 |
| 21 | CWE-476 | Déréférencement du Pointeur NULL | 3.58 | 0 | -9 |
| 22 | CWE-798 | Utilisation d’identifiants codés en dur | 3.46 | 2 | -4 |
| 23 | CWE-190 | Débordement d’entier ou Wraparound | 3.37 | 3 | -9 |
| 24 | CWE-400 | Consommation Incontrôlée Des Ressources | 3.23 | 0 | +13 |
| 25 | CWE-306 | Authentification manquante pour une fonction critique | 2.73 | 5 | -5 |
CISA publie également régulièrement des alertes « Sécurisées dès la conception » soulignant la prévalence de vulnérabilités largement connues et documentées qui n’ont pas encore été éliminées des logiciels malgré les mesures d’atténuation disponibles et efficaces.
Certaines ont été émises en réponse à des activités malveillantes en cours, comme une alerte de juillet demandant aux fournisseurs d’éliminer les vulnérabilités d’injection de commandes path OS exploitées par les pirates informatiques chinois Velvet Ant State lors d’attaques récentes ciblant les périphériques périphériques Cisco, Palo Alto et Ivanti network.
En mai et mars, l’agence de cybersécurité a publié deux autres alertes « Sécurisées dès la conception » exhortant les responsables techniques et les développeurs de logiciels à prévenir les vulnérabilités de traversée de chemin et d’injection SQL (SQLi) dans leurs produits et leur code.
CISA a également exhorté les fournisseurs de technologies à cesser d’expédier des logiciels et des appareils avec des mots de passe par défaut et les fabricants de routeurs de petit bureau/bureau à domicile (SOHO) pour les protéger contre les attaques Volt Typhoon.
La semaine dernière, le FBI, la NSA et les autorités de cybersécurité de Five Eyes ont publié une liste des 15 principales vulnérabilités de sécurité exploitées régulièrement l’année dernière, avertissant que les attaquants se concentraient sur le ciblage des jours zéro (failles de sécurité qui ont été divulguées mais qui n’ont pas encore été corrigées).
« En 2023, la majorité des vulnérabilités les plus fréquemment exploitées l’ont été initialement en tant que jour zéro, ce qui représente une augmentation par rapport à 2022, lorsque moins de la moitié des vulnérabilités les plus exploitées l’ont été en tant que jour zéro », ont-ils averti.