Le MITRE partage son Top 25 des faiblesses logicielles les plus dangereuses !
MITRE a mis en ligne sa liste des 25 faiblesses les plus dangereuses qui ont affecté les applications au cours des deux dernières années.
Pour rappel, le MITRE est une organisation américaine à but non lucratif spécialisée dans la cybersécurité qui fournit de nombreux conseils et informations sur les techniques d'attaques. Les travaux du MITRE, notamment via le référentiel MITRE ATT&CK sont une référence pour beaucoup de professionnels de la cybersécurité.
Par faiblesse ou weakness en anglais, le MITRE fait référence aux failles de sécurité ou vulnérabilités, aux bugs, ou aux erreurs d'implémentation et de design qui peuvent mettre en question la sécurité d'une application.
Ces faiblesses sont potentiellement exploitables par les pirates informatiques dans le cadre de cyberattaques, que ce soit pour compromettre la machine, effectuer un déni de service ou encore voler des informations.
Pour mettre au point la liste présentée dans le tableau ci-dessous, le MITRE a réalisé un travail d'analyse conséquent avec une évaluation basée sur la gravité de la vulnérabilité et sa prévalence. En effet, le MITRE a analysé 43 996 entrées CVE référencées dans la base de données nationale du NIST et découvertes en 2021 et 2022. Pour son analyse, MITRE s'est aussi appuyé sur le catalogue des vulnérabilités connues et exploitées (KEV) de la CISA.
| Rank | ID | Name | Score | CVEs in KEV | Rank Change vs. 2022 |
|---|---|---|---|---|---|
| 1 | CWE-787 | Out-of-bounds Write | 63.72 | 70 | 0 |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | 45.54 | 4 | 0 |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | 34.27 | 6 | 0 |
| 4 | CWE-416 | Use After Free | 16.71 | 44 | +3 |
| 5 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') | 15.65 | 23 | +1 |
| 6 | CWE-20 | Improper Input Validation | 15.50 | 35 | -2 |
| 7 | CWE-125 | Out-of-bounds Read | 14.60 | 2 | -2 |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') | 14.11 | 16 | 0 |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 10.41 | 5 | 0 |
| 11 | CWE-862 | Missing Authorization | 6.90 | 0 | +5 |
| 12 | CWE-476 | NULL Pointer Dereference | 6.59 | 0 | -1 |
| 13 | CWE-287 | Improper Authentication | 6.39 | 10 | +1 |
| 14 | CWE-190 | Integer Overflow or Wraparound | 5.89 | 4 | -1 |
| 15 | CWE-502 | Deserialization of Untrusted Data | 5.56 | 14 | -3 |
| 16 | CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') | 4.95 | 4 | +1 |
| 17 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 4.75 | 7 | +2 |
| 18 | CWE-798 | Use of Hard-coded Credentials | 4.57 | 2 | -3 |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Missing Authentication for Critical Function | 3.78 | 8 | -2 |
| 21 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') | 3.53 | 8 | +1 |
| 22 | CWE-269 | Improper Privilege Management | 3.31 | 5 | +7 |
| 23 | CWE-94 | Improper Control of Generation of Code ('Code Injection') | 3.30 | 6 | +2 |
| 24 | CWE-863 | Incorrect Authorization | 3.16 | 0 | +4 |
| 25 | CWE-276 | Incorrect Default Permissions | 3.16 | 0 | -5 |
Cette liste est intéressante, car elle permet de voir quels sont les types de faiblesses les plus dangereux et auxquels il faut prêter une attention particulière lorsqu'un patch de sécurité est disponible. Dans le tableau ci-dessus, les liens permettent d'obtenir des détails supplémentaires sur chaque technique.
La présence de "Out-of-bounds Write" en première position du classement n'est pas étonnante, car ce type de faiblesses peut permettre une exécution de code à distance, un déni de service ou une corruption de données.
Bonjour Florian,
Merci pour tes articles de qualité comme à chaque fois. ! 🙂
Cependant, il y a une erreur concernant le MITRE, tu indiques « est une organisation américaine à but lucratif » or c’est l’inverse 😉 (page Wiki : MITRE est une organisation à but non lucratif américaine dont l’objectif est de travailler pour l’intérêt public.)
Merci pour ta prise en compte et bonne journée !
Bonjour Will,
Je vais corriger merci. C’est ce que j’avais en tête aussi, mais ce n’est pas ce que j’ai écris… Merci d’avoir relevé la coquille 🙂