MITRE met à jour la liste des 25 failles logiciels les plus dangereuses

0

MITRE a partagé cette année la liste des 25 principales faiblesses les plus courantes et les plus dangereuses des logiciels au cours des deux dernières années.

Les failles logicielles sont des défauts, des bogues, des vulnérabilités et divers autres types d’erreurs affectant le code, l’architecture, la mise en œuvre ou la conception d’une solution logicielle, exposant potentiellement les systèmes sur lesquels ce logiciel s’exécute à des attaques.

MITRE a développé la liste des 25 premières failles à l’aide des données sur les vulnérabilités et expositions communes (CVE) de 2019 et 2020 obtenues à partir de la base de données nationale sur les vulnérabilités (NVD) (environ 27 000 CVE).

« Une formule de notation est utilisée pour calculer un ordre classé des faiblesses qui combine la fréquence à laquelle un CWE est la cause première d’une vulnérabilité avec la gravité projetée de son exploitation », a expliqué MITRE.

« Cette approche fournit un regard objectif sur les vulnérabilités actuellement observées dans le monde réel, crée une base de rigueur analytique fondée sur des vulnérabilités signalées publiquement au lieu d’enquêtes et d’opinions subjectives, et rend le processus facilement reproductible. »

Les 25 bugs les plus dangereux pour cette année 2021 selon MITRE sont dangereux car ils sont généralement faciles à découvrir, ont un impact élevé et sont répandus dans les logiciels publiés au cours des deux dernières années.

Ils peuvent également être exploités par des attaquants pour potentiellement prendre le contrôle total des systèmes vulnérables, voler les données sensibles des cibles ou déclencher un déni de service (DoS) après une exploitation réussie.

La liste ci-dessous donne un aperçu à la communauté dans son ensemble des failles les plus critiques et actuelles en matière de sécurité logicielle.

RangIdentifiantNomScore
[1]CWE-787Écriture hors limites65.93
[2]CWE-79Neutralisation incorrecte de l’entrée lors de la génération de pages Web (« script intersites »)46.84
[3]CWE-125Lecture hors limites24.9
[4]CWE-20Validation d’entrée incorrecte20.47
[5]CWE-78Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS (‘injection de commande OS’)19.55
[6]CWE-89Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (‘Injection SQL’)19.54
[7]CWE-416Use After Free16.83
[8]CWE-22Limitation incorrecte d’un nom de chemin vers un répertoire restreint (‘Path Traversal’)14.69
[9]CWE-352Contrefaçon de requête intersites (CSRF)14.46
[10]CWE-434Téléchargement illimité de fichier de type dangereux8.45
[11]CWE-306Authentification manquante pour la fonction critique7.93
[12]CWE-190Débordement d’entier ou Wraparound7.12
[13]CWE-502Désérialisation des données non fiables6.71
[14]CWE-287Authentification incorrecte6.58
[15]CWE-476Déréférencement de pointeur NULL6.54
[16]CWE-798Utilisation d’informations d’identification codées en dur6.27
[17]CWE-119Restriction inappropriée des opérations dans les limites d’un tampon mémoire5.84
[18]CWE-862Autorisation manquante5.47
[19]CWE-276Faille d’autorisations incorrectes5.09
[20]CWE-200Exposition d’informations sensibles à un acteur non autorisé4.74
[21]CWE-522Identifiants insuffisamment protégés4.21
[22]CWE-732Attribution d’autorisation incorrecte pour la ressource critique4.2
[23]CWE-611Restriction inappropriée de la référence d’entité externe XML4.02
[24]CWE-918Contrefaçon de requête côté serveur (SSRF)3.78
[25]CWE-77Neutralisation incorrecte des éléments spéciaux utilisés dans une commande (« Injection de commande »)3.58

Top 10 des vulnérabilités les plus exploitées

L’année dernière, le 12 mai, la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) avaient également publié une liste des 10 vulnérabilités de sécurité les plus exploitées entre 2016 et 2019.

« Sur les 10 premières, les trois vulnérabilités les plus fréquemment utilisées par les cyber-acteurs parrainés par la Chine, l’Iran, la Corée du Nord et la Russie sont CVE-2017-11882, CVE-2017-0199 et CVE-2012-0158 », a mentionné CISA. « Ces trois vulnérabilités sont liées à la technologie OLE de Microsoft. »

Les pirates chinois ont fréquemment exploité CVE-2012-0158 à partir de Décembre 2018, montrant que leurs cibles n’ont pas réussi à appliquer rapidement les mises à jour de sécurité et que les acteurs malveillants continueront d’essayer d’abuser des bogues tant qu’ils ne sont pas corrigés.

Les attaquants se sont également concentrés sur l’exploitation des failles de sécurité causées par des déploiements hâtifs de services de collaboration cloud comme Office 365.

Les vulnérabilités non corrigées des VPN de Pulse Secure (CVE-2019-11510) et de Citrix (CVE-2019-19781) ont également été une cible de prédilection l’année dernière, après le passage au travail à distance causé par la pandémie de COVID-19 en cours.

CISA recommande d’abandonner les logiciels en fin de vie dès que possible, car il s’agit du moyen le plus simple et le plus rapide d’atténuer les anciens bogues de sécurité non corrigés.

La liste complète des 10 failles de sécurité les plus exploitées depuis 2016 est disponible ci-dessous, avec des liens directs vers leurs entrées NVD.

CVEMalware associé
CVE-2017-11882Loki, FormBook, Pony/FAREIT
CVE-2017-0199FINSPY, LATENTBOT, Dridex
CVE-2017-5638JexBoss
CVE-2012-0158Dridex
CVE-2019-0604China Chopper
CVE-2017-0143Plusieurs utilisant les kits d’exploit EternalSynergy et EternalBlue
CVE-2018-4878DOGCALL
CVE-2017-8759FINSPY, FinFisher, WingBird
CVE-2015-1641Toshliph, Uwarrior
CVE-2018-7600Kitty

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire