MITRE a publié la liste des bogues logiciels les plus dangereux de la CWE en 2022, soulignant que les entreprises sont toujours confrontées à une série de faiblesses courantes qui doivent être protégées contre l’exploitation.

La liste des 25 faiblesses logicielles les plus dangereuses du Common Weakness Enumeration (CWE) 2022 a été rendue publique la semaine dernière. Le CWE Top 25 est le travail de l’Institut d’ingénierie et de développement des systèmes de sécurité intérieure, parrainé par CISA et géré par MITRE.

La liste tente de fournir un guide complet aux développeurs, chercheurs et cadres pour hiérarchiser et atténuer les risques liés aux problèmes de logiciels exploitables.

INTERVIEW « Est-ce que quelqu’un aime les CAPTCHA ? » – Le directeur technique de Cloudflare, John Graham-Cumming, envisage un avenir sans friction pour les tests de Turing sur le site Web

La Liste des 25 meilleurs CWE utilise les points de données des données CVE de la base de données nationale sur les vulnérabilités (NVD) du NIST, les scores CVSS (Common Vulnerability Scoring System) attribués aux nouveaux enregistrements CVE et les informations du catalogue CISA Known Exploited Vulnerabilities (KEV).

« Souvent faciles à trouver et à exploiter, ceux-ci peuvent conduire à des vulnérabilités exploitables qui permettent à des adversaires de prendre complètement le contrôle d’un système, de voler des données ou d’empêcher les applications de fonctionner », CISA dit.

CWE Top 25 – des déménageurs et des secoueurs

La soumission de cette année contient 37 899 enregistrements CVE collectés au cours des deux dernières années. Les 10 principaux problèmes logiciels inclus dans la liste sont ci-dessous :

  • CWE-787 – Écriture hors limites
  • CWE-79 – Neutralisation incorrecte des entrées lors de la génération de pages Web (Cross-site Scripting)
  • CWE-89 – Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (injection SQL)
  • CWE-20 – Validation d’entrée incorrecte
  • CWE-125 – Lecture hors limites
  • CWE-78 – Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS (injection de commande OS)
  • CWE-416 – Utiliser après gratuit
  • CWE-22 – Limitation incorrecte d’un chemin d’accès à un répertoire restreint (Path Traversal)
  • CWE-352 – Contrefaçon de requête intersite (CSRF)
  • CWE-434 – Téléchargement illimité de fichiers avec un type dangereux

Parmi les acteurs du top 10 des faiblesses logicielles les plus dangereuses, MITRE a fait grimper les risques d’injection SQL de trois places par rapport à 2021. Cependant, la lecture hors limites et l’injection de commande du système d’exploitation ont chuté en termes de détection et de gravité.

Actuellement à la 11e place se trouve le déréférencement de pointeur NULL, qui se produit lorsqu’un pointeur s’attend à être valide mais provoque le blocage ou la fermeture d’une application. Cela a grimpé de quatre places depuis 2021 et nous pouvons nous attendre à ce que ce type de vulnérabilité logicielle gagne une place dans le top 10 des futures listes s’il continue à grimper.

Les problèmes d’authentification persistent

Les problèmes d’authentification et d’autorisation continuent de tourmenter la liste des 25 meilleurs avec l’apparition d’une authentification incorrecte, d’une autorisation manquante et de l’utilisation d’informations d’identification codées en dur.

Cependant, il semble que les entreprises commencent à prendre la protection des données plus au sérieux.

Par exemple, l’exposition d’informations sensibles à des personnes sans autorisation est passée de 20 à 33 ; la protection insuffisante des informations d’identification est passée de la 20e place au numéro 22, et l’attribution incorrecte des autorisations aux ressources critiques est passée du numéro 22 à la 30.

Les nouvelles entrées dans le Top 25 incluent CWE-362Race Conditions, passant du spot 33 au 22 ; CWE-94, Injections de Code, du numéro 28 au 25 ; et CWE-400Consommation incontrôlée des ressources, du point 27 au point 23.

Selon MITRE, il y a une transition générale de au niveau de la classeou des faiblesses « abstraites » pour niveau de base problèmes, qui sont « généralement associés à des groupes de langues, de technologies ou de ressources spécifiques ».

« Avec les virus, le phishing et le vol de données qui nous entourent tous, les menaces de sécurité Web peuvent perturber considérablement les opérations commerciales, des logiciels malveillants infectant les réseaux à la possibilité de supprimer des données ou de les conserver contre rançon », a déclaré Jake Moore, conseiller mondial en cybersécurité chez ESET, une entreprise de cybersécurité.

« Les entreprises doivent suivre des normes simples mais efficaces, telles que s’assurer que tous les appareils et logiciels sont à jour, activer l’authentification multifacteur et créer des sauvegardes hors ligne et en ligne – sans parler de les tester – pour se préparer à la pire éventualité. »

La gorgée quotidienne a contacté MITRE et nous le mettrons à jour lorsque nous vous répondrons.

LIRE LA SUITE HTTP/3 évolue vers RFC 9114 – un avantage en matière de sécurité, mais non sans défis