MITRE a publié sa liste annuelle des 25 « faiblesses logicielles les plus dangereuses » pour l’année 2023.
« Ces faiblesses entraînent de graves vulnérabilités dans les logiciels », a déclaré la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis. a dit. « Un attaquant peut souvent exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté, voler des données ou empêcher les applications de fonctionner. »
Le liste repose sur une analyse des données publiques de vulnérabilité dans les Données Nationales de Vulnérabilité (NVD) pour les mappages des causes profondes des faiblesses de CWE au cours des deux années précédentes. Un total de 43 996 entrées CVE ont été examinées et un score a été attribué à chacune d’entre elles en fonction de la prévalence et de la gravité.
L’écriture hors limites vient en tête, suivie du script intersite, de l’injection SQL, de l’utilisation après libération, de l’injection de commande du système d’exploitation, de la validation d’entrée incorrecte, de la lecture hors limites, de la traversée de chemin, de la falsification de requête intersite (CSRF ) et Téléchargement illimité de fichiers de type dangereux. L’écriture hors limites a également pris la première place en 2022.
70 vulnérabilités ajoutées au catalogue des vulnérabilités exploitées connues (KEV) en 2021 et 2022 étaient des bogues d’écriture hors limites. Une catégorie de faiblesse qui est tombée du Top 25 est la restriction inappropriée de la référence d’entité externe XML.
« L’analyse des tendances sur les données de vulnérabilité comme celle-ci permet aux organisations de prendre de meilleures décisions d’investissement et de politique dans la gestion des vulnérabilités », a déclaré l’équipe de recherche Common Weakness Enumeration (CWE). a dit.
Outre le logiciel, MITRE maintient également une liste de faiblesses matérielles importantes dans le but de « prévenir les problèmes de sécurité matérielle à la source en éduquant les concepteurs et les programmeurs sur la manière d’éliminer les erreurs importantes au début du cycle de développement du produit ».
La divulgation intervient alors que la CISA, en collaboration avec la National Security Agency (NSA) des États-Unis, a publié recommandations et bonnes pratiques pour les organisations de renforcer leurs environnements d’intégration continue/livraison continue (CI/CD) contre les cyberacteurs malveillants.
Cela inclut la mise en œuvre d’algorithmes cryptographiques puissants lors de la configuration des applications cloud, la minimisation de l’utilisation d’informations d’identification à long terme, l’ajout d’une signature de code sécurisée, l’utilisation de règles à deux personnes (2PR) pour examiner les engagements de code du développeur, l’adoption du principe du moindre privilège (PoLP) , en utilisant la segmentation du réseau, et auditez régulièrement les comptes, les secrets et les systèmes.
« En mettant en œuvre les mesures d’atténuation proposées, les organisations peuvent réduire le nombre de vecteurs d’exploitation dans leurs environnements CI/CD et créer un environnement difficile à pénétrer pour l’adversaire », ont déclaré les agences.
Le développement fait également suite aux nouvelles découvertes de Censys selon lesquelles près de 250 appareils fonctionnant sur divers réseaux du gouvernement américain ont exposé des interfaces de gestion à distance sur le Web ouvert, dont beaucoup exécutent des protocoles à distance tels que SSH et TELNET.
« Les agences FCEB sont tenues de prendre des mesures conformément au BOD 23-02 dans les 14 jours suivant l’identification de l’un de ces appareils, soit en le sécurisant selon les concepts de l’architecture Zero Trust, soit en supprimant l’appareil de l’Internet public », ont déclaré des chercheurs de Censys. a dit.
Les interfaces de gestion à distance accessibles au public sont devenues l’une des voies les plus courantes d’attaques par les pirates et les cybercriminels des États-nations, l’exploitation du protocole de bureau à distance (RDP) et des VPN devenant une technique d’accès initial préférée au cours de l’année écoulée, selon un nouveau rapport de ReliaQuest.