19/12/2024

Actu Cybersécurité

Le MITRE partage son Top 25 des faiblesses logicielles les plus dangereuses !

MITRE a mis en ligne sa liste des 25 faiblesses les plus dangereuses qui ont affecté les applications au cours des deux dernières années.

Pour rappel, le MITRE est une organisation américaine à but non lucratif spécialisée dans la cybersécurité qui fournit de nombreux conseils et informations sur les techniques d'attaques. Les travaux du MITRE, notamment via le référentiel MITRE ATT&CK sont une référence pour beaucoup de professionnels de la cybersécurité.

Par faiblesse ou weakness en anglais, le MITRE fait référence aux failles de sécurité ou vulnérabilités, aux bugs, ou aux erreurs d'implémentation et de design qui peuvent mettre en question la sécurité d'une application.

Ces faiblesses sont potentiellement exploitables par les pirates informatiques dans le cadre de cyberattaques, que ce soit pour compromettre la machine, effectuer un déni de service ou encore voler des informations.

Pour mettre au point la liste présentée dans le tableau ci-dessous, le MITRE a réalisé un travail d'analyse conséquent avec une évaluation basée sur la gravité de la vulnérabilité et sa prévalence. En effet, le MITRE a analysé 43 996 entrées CVE référencées dans la base de données nationale du NIST et découvertes en 2021 et 2022. Pour son analyse, MITRE s'est aussi appuyé sur le catalogue des vulnérabilités connues et exploitées (KEV) de la CISA.

Rank ID Name Score CVEs in KEV Rank Change vs. 2022
1 CWE-787 Out-of-bounds Write 63.72 70 0
2 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 45.54 4 0
3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 34.27 6 0
4 CWE-416 Use After Free 16.71 44 +3
5 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 15.65 23 +1
6 CWE-20 Improper Input Validation 15.50 35 -2
7 CWE-125 Out-of-bounds Read 14.60 2 -2
8 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.11 16 0
9 CWE-352 Cross-Site Request Forgery (CSRF) 11.73 0 0
10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.41 5 0
11 CWE-862 Missing Authorization 6.90 0 +5
12 CWE-476 NULL Pointer Dereference 6.59 0 -1
13 CWE-287 Improper Authentication 6.39 10 +1
14 CWE-190 Integer Overflow or Wraparound 5.89 4 -1
15 CWE-502 Deserialization of Untrusted Data 5.56 14 -3
16 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 4.95 4 +1
17 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 4.75 7 +2
18 CWE-798 Use of Hard-coded Credentials 4.57 2 -3
19 CWE-918 Server-Side Request Forgery (SSRF) 4.56 16 +2
20 CWE-306 Missing Authentication for Critical Function 3.78 8 -2
21 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') 3.53 8 +1
22 CWE-269 Improper Privilege Management 3.31 5 +7
23 CWE-94 Improper Control of Generation of Code ('Code Injection') 3.30 6 +2
24 CWE-863 Incorrect Authorization 3.16 0 +4
25 CWE-276 Incorrect Default Permissions 3.16 0 -5

Cette liste est intéressante, car elle permet de voir quels sont les types de faiblesses les plus dangereux et auxquels il faut prêter une attention particulière lorsqu'un patch de sécurité est disponible. Dans le tableau ci-dessus, les liens permettent d'obtenir des détails supplémentaires sur chaque technique.

La présence de "Out-of-bounds Write" en première position du classement n'est pas étonnante, car ce type de faiblesses peut permettre une exécution de code à distance, un déni de service ou une corruption de données.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

2 commentaires sur “Le MITRE partage son Top 25 des faiblesses logicielles les plus dangereuses !

  • Bonjour Florian,

    Merci pour tes articles de qualité comme à chaque fois. ! 🙂
    Cependant, il y a une erreur concernant le MITRE, tu indiques « est une organisation américaine à but lucratif » or c’est l’inverse 😉 (page Wiki : MITRE est une organisation à but non lucratif américaine dont l’objectif est de travailler pour l’intérêt public.)

    Merci pour ta prise en compte et bonne journée !

    Répondre
    • Bonjour Will,
      Je vais corriger merci. C’est ce que j’avais en tête aussi, mais ce n’est pas ce que j’ai écris… Merci d’avoir relevé la coquille 🙂

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.