CWE Top 25 : Ce sont les faiblesses logicielles les plus dangereuses de 2022

Charlie Osborne 05 juillet 2022 à 14:40 UTC

Mis à jour : 05 juillet 2022 à 14 h 43 UTC

Le dernier remaniement CWE de CISA et MITRE révèle les menaces les plus graves qui affectent aujourd’hui les logiciels d’entreprise

MITRE a publié la liste des bogues logiciels les plus dangereux de la CWE en 2022, soulignant que les entreprises sont toujours confrontées à une série de faiblesses courantes qui doivent être protégées contre l’exploitation.

La liste des 25 faiblesses logicielles les plus dangereuses du Common Weakness Enumeration (CWE) 2022 a été rendue publique la semaine dernière. Le CWE Top 25 est le travail de l’Institut d’ingénierie et de développement des systèmes de sécurité intérieure, parrainé par CISA et géré par MITRE.

La liste tente de fournir un guide complet aux développeurs, chercheurs et cadres pour hiérarchiser et atténuer les risques liés aux problèmes de logiciels exploitables.

INTERVIEW “Est-ce que quelqu’un aime les CAPTCHA ?” – Le directeur technique de Cloudflare, John Graham-Cumming, envisage un avenir sans friction pour les tests de Turing sur le site Web

La liste CWE Top 25 utilise des points de données des données CVE de la base de données nationale sur les vulnérabilités (NVD) du NIST, des scores CVSS (Common Vulnerability Scoring System) attribués aux nouveaux enregistrements CVE et des informations du catalogue CISA Known Exploited Vulnerabilities (KEV).

“Souvent faciles à trouver et à exploiter, ceux-ci peuvent conduire à des vulnérabilités exploitables qui permettent à des adversaires de prendre complètement le contrôle d’un système, de voler des données ou d’empêcher des applications de fonctionner”, explique CISA.

CWE Top 25 – des déménageurs et des secoueurs

La soumission de cette année contient 37 899 enregistrements CVE collectés au cours des deux dernières années. Les 10 principaux problèmes logiciels inclus dans la liste sont ci-dessous :

  • CWE-787 – Écriture hors limites
  • CWE-79 – Neutralisation incorrecte des entrées lors de la génération de pages Web (Cross-site Scripting)
  • CWE-89 – Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (injection SQL)
  • CWE-20 – Validation d’entrée incorrecte
  • CWE-125 – Hors limites Lire
  • CWE-78 – Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS (injection de commande OS)
  • CWE-416 – Utiliser après gratuit
  • CWE-22 – Limitation incorrecte d’un chemin d’accès à un répertoire restreint (Path Traversal)
  • CWE-352 – Contrefaçon de requête intersite (CSRF)
  • CWE-434 – Téléchargement illimité de fichiers avec un type dangereux

Parmi les acteurs du top 10 des faiblesses logicielles les plus dangereuses, MITRE a fait grimper les risques d’injection SQL de trois places par rapport à 2021. Cependant, la lecture hors limites et l’injection de commande du système d’exploitation ont chuté en termes de détection et de gravité.

Actuellement à la 11e place se trouve le déréférencement de pointeur NULL, qui se produit lorsqu’un pointeur s’attend à être valide mais provoque le blocage ou la fermeture d’une application. Cela a grimpé de quatre places depuis 2021 et nous pouvons nous attendre à ce que ce type de vulnérabilité logicielle gagne une place dans le top 10 des futures listes s’il continue à grimper.

Les problèmes d’authentification persistent

Les problèmes d’authentification et d’autorisation continuent de tourmenter la liste des 25 meilleurs avec l’apparition d’une authentification incorrecte, d’une autorisation manquante et de l’utilisation d’informations d’identification codées en dur.

Cependant, il semble que les entreprises commencent à prendre la protection des données plus au sérieux.

Par exemple, l’exposition d’informations sensibles à des personnes sans autorisation est passée de 20 à 33 ; la protection des informations d’identification est passée de la 20e place au numéro 22, et l’attribution incorrecte des autorisations aux ressources critiques est passée du numéro 22 à la 30.

En savoir plus sur les dernières nouvelles de l’industrie de la sécurité de l’information

Les nouvelles entrées dans le Top 25 incluent CWE-362Race Conditions, passant du spot 33 au 22 ; CWE-94, Injections de Code, du numéro 28 au 25 ; et CWE-400Consommation incontrôlée des ressources, du point 27 au point 23.

Selon MITRE, il y a une transition générale des faiblesses au niveau de la classe ou “abstraites” aux problèmes de base, qui sont “généralement associés à des groupes de langues, de technologies ou de ressources spécifiques”.

“Avec les virus, le phishing et le vol de données qui nous entourent tous, les menaces de sécurité Web peuvent perturber considérablement les opérations commerciales, des logiciels malveillants infectant les réseaux à la possibilité de supprimer des données ou de les conserver contre rançon”, a déclaré Jake Moore, conseiller mondial en cybersécurité chez ESET, une entreprise de cybersécurité.

“Les entreprises doivent suivre des normes simples mais efficaces, telles que s’assurer que tous les appareils et logiciels sont à jour, permettre l’authentification multifacteur et créer des sauvegardes hors ligne et en ligne – sans parler de les tester – pour se préparer à la pire éventualité.”

La gorgée quotidienne a contacté MITRE et nous le mettrons à jour lorsque nous vous répondrons.

LIRE LA SUITE HTTP/3 évolue vers RFC 9114 – un avantage en matière de sécurité, mais non sans défis

2,585 thoughts on “CWE Top 25 : Ce sont les faiblesses logicielles les plus dangereuses de 2022”

  1. דירות בבת ים

    A fascinating discussion is definitely worth comment. I do think that you ought to publish more about this topic, it may not be a taboo subject but typically people dont speak about such issues. To the next! Many thanks!!

  2. Michaelfer