{"id":808229,"date":"2023-06-30T06:09:30","date_gmt":"2023-06-30T08:09:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/mitre-devoile-les-25-faiblesses-logicielles-les-plus-dangereuses-de-2023-etes-vous-a-risque\/"},"modified":"2023-06-30T06:09:33","modified_gmt":"2023-06-30T08:09:33","slug":"mitre-devoile-les-25-faiblesses-logicielles-les-plus-dangereuses-de-2023-etes-vous-a-risque","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/mitre-devoile-les-25-faiblesses-logicielles-les-plus-dangereuses-de-2023-etes-vous-a-risque\/","title":{"rendered":"MITRE d\u00e9voile les 25 faiblesses logicielles les plus dangereuses de 2023\u00a0: \u00eates-vous \u00e0 risque\u00a0?"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 juin 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vuln\u00e9rabilit\u00e9 \/ S\u00e9curit\u00e9 logicielle<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

MITRE a publi\u00e9 sa liste annuelle des 25 “faiblesses logicielles les plus dangereuses” pour l’ann\u00e9e 2023.<\/p>\n

“Ces faiblesses entra\u00eenent de graves vuln\u00e9rabilit\u00e9s dans les logiciels”, a d\u00e9clar\u00e9 la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis. a dit<\/a>. “Un attaquant peut souvent exploiter ces vuln\u00e9rabilit\u00e9s pour prendre le contr\u00f4le d’un syst\u00e8me affect\u00e9, voler des donn\u00e9es ou emp\u00eacher les applications de fonctionner.”<\/p>\n

Le liste<\/a> repose sur une analyse<\/a> des donn\u00e9es publiques de vuln\u00e9rabilit\u00e9 dans les Donn\u00e9es Nationales de Vuln\u00e9rabilit\u00e9 (NVD<\/a>) pour les mappages des causes profondes des faiblesses de CWE au cours des deux ann\u00e9es pr\u00e9c\u00e9dentes. Un total de 43 996 entr\u00e9es CVE ont \u00e9t\u00e9 examin\u00e9es et un score a \u00e9t\u00e9 attribu\u00e9 \u00e0 chacune d’entre elles en fonction de la pr\u00e9valence et de la gravit\u00e9.<\/p>\n

L’\u00e9criture hors limites vient en t\u00eate, suivie du script intersite, de l’injection SQL, de l’utilisation apr\u00e8s lib\u00e9ration, de l’injection de commande du syst\u00e8me d’exploitation, de la validation d’entr\u00e9e incorrecte, de la lecture hors limites, de la travers\u00e9e de chemin, de la falsification de requ\u00eate intersite (CSRF ) et T\u00e9l\u00e9chargement illimit\u00e9 de fichiers de type dangereux. L’\u00e9criture hors limites a \u00e9galement pris la premi\u00e8re place en 2022.<\/p>\n

\"La<\/a><\/center><\/div>\n

70 vuln\u00e9rabilit\u00e9s ajout\u00e9es au catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV) en 2021 et 2022 \u00e9taient des bogues d’\u00e9criture hors limites. Une cat\u00e9gorie de faiblesse qui est tomb\u00e9e du Top 25 est la restriction inappropri\u00e9e de la r\u00e9f\u00e9rence d’entit\u00e9 externe XML.<\/p>\n

“L’analyse des tendances sur les donn\u00e9es de vuln\u00e9rabilit\u00e9 comme celle-ci permet aux organisations de prendre de meilleures d\u00e9cisions d’investissement et de politique dans la gestion des vuln\u00e9rabilit\u00e9s”, a d\u00e9clar\u00e9 l’\u00e9quipe de recherche Common Weakness Enumeration (CWE). a dit<\/a>.<\/p>\n

Outre le logiciel, MITRE maintient \u00e9galement une liste de faiblesses mat\u00e9rielles importantes<\/a> dans le but de “pr\u00e9venir les probl\u00e8mes de s\u00e9curit\u00e9 mat\u00e9rielle \u00e0 la source en \u00e9duquant les concepteurs et les programmeurs sur la mani\u00e8re d’\u00e9liminer les erreurs importantes au d\u00e9but du cycle de d\u00e9veloppement du produit”.<\/p>\n

La divulgation intervient alors que la CISA, en collaboration avec la National Security Agency (NSA) des \u00c9tats-Unis, a publi\u00e9 recommandations et bonnes pratiques<\/a> pour les organisations de renforcer leurs environnements d’int\u00e9gration continue\/livraison continue (CI\/CD) contre les cyberacteurs malveillants.<\/p>\n

Cela inclut la mise en \u0153uvre d’algorithmes cryptographiques puissants lors de la configuration des applications cloud, la minimisation de l’utilisation d’informations d’identification \u00e0 long terme, l’ajout d’une signature de code s\u00e9curis\u00e9e, l’utilisation de r\u00e8gles \u00e0 deux personnes (2PR) pour examiner les engagements de code du d\u00e9veloppeur, l’adoption du principe du moindre privil\u00e8ge (PoLP) , en utilisant la segmentation du r\u00e9seau, et auditez r\u00e9guli\u00e8rement les comptes, les secrets et les syst\u00e8mes.<\/p>\n

\"La<\/a><\/center><\/div>\n

“En mettant en \u0153uvre les mesures d’att\u00e9nuation propos\u00e9es, les organisations peuvent r\u00e9duire le nombre de vecteurs d’exploitation dans leurs environnements CI\/CD et cr\u00e9er un environnement difficile \u00e0 p\u00e9n\u00e9trer pour l’adversaire”, ont d\u00e9clar\u00e9 les agences.<\/p>\n

Le d\u00e9veloppement fait \u00e9galement suite aux nouvelles d\u00e9couvertes de Censys selon lesquelles pr\u00e8s de 250 appareils fonctionnant sur divers r\u00e9seaux du gouvernement am\u00e9ricain ont expos\u00e9 des interfaces de gestion \u00e0 distance sur le Web ouvert, dont beaucoup ex\u00e9cutent des protocoles \u00e0 distance tels que SSH et TELNET.<\/p>\n

“Les agences FCEB sont tenues de prendre des mesures conform\u00e9ment au BOD 23-02 dans les 14 jours suivant l’identification de l’un de ces appareils, soit en le s\u00e9curisant selon les concepts de l’architecture Zero Trust, soit en supprimant l’appareil de l’Internet public”, ont d\u00e9clar\u00e9 des chercheurs de Censys. a dit<\/a>.<\/p>\n

Les interfaces de gestion \u00e0 distance accessibles au public sont devenues l’une des voies les plus courantes d’attaques par les pirates et les cybercriminels des \u00c9tats-nations, l’exploitation du protocole de bureau \u00e0 distance (RDP) et des VPN devenant une technique d’acc\u00e8s initial pr\u00e9f\u00e9r\u00e9e au cours de l’ann\u00e9e \u00e9coul\u00e9e, selon un nouveau rapport<\/a> de ReliaQuest.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n