Cyber threats
Barometer
Éclairage du mois
La fin d’année est un moment propice pour prendre un peu de recul et apprendre des évènements de l’année passée. Comme chaque année, l’organisation a but non lucratif Mitre a publié son top 25 des CWE les plus communes sur la période allant de juin 2023 à juin 2024.
Pour cette version 2024, partant du constat que de nombreuses associations étaient de trop haut niveau et donc imprécise, Mitre a fourni un effort particulier sur l’association faite entre les vulnérabilités et leur faiblesse logicielle associée. Une participation a donc été demandée aux CNA (CVE Numbering Authorities) afin de réassocier environ 30% des vulnérabilités considérées à des faiblesses logicielles plus précises.
En plus de ce travail de fond, une simplification a été effectuée afin de se conformer à la vue dite Vue 1003 souvent utilisée pour effectuer des associations entre CVE et CWE. Enfin le calcul du score a été revu, afin d’être plus représentatif.
Ces différents changements ont eu un fort impact sur le classement. Seules 3 faiblesses ont conservé leur classement comme la CWE-89 (Improper Neutralization of Special Elements used in an SQL Command ou plus communément Injection SQL) conservant malheureusement sa troisième place. On notera également une forte progression (+12 places) de la CWE-94 Improper Control of Generation of Code plus connue sous le nom d’injection de code, souvent associée à des logiciels de gestion de contenu comme WordPress (surtout ses greffons) ou Prestashop. Enfin les CWE-400 (Uncontrolled Resource Consumption) et CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) ont fait leur entrée respectivement à la 24ème et 17ème place au détriment des CWE-362 (Race condition) et CWE-276 (Incorrect default permission).
Force est de constater que le trio de tête n’a que peu évolué depuis l’an passé, celui-ci se contentant d’inverser la première et seconde place avec en tête : CWE-79 (Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), CWE-787 : Out-of-bounds Write et CWE-89 (SQL Injection).
Au-delà de faire un classement purement statistique, ce top 25 est une ressource de valeur tant pour les chercheurs en sécurité que pour les développeurs. Permettant de se concentrer sur les faiblesses les plus courantes et ainsi améliorer le code produit d’une part, et la défense des infrastructures en mettant en relation les faiblesses logicielles et le référentiel des vulnérabilités activement exploitées par les attaquants (KEV) de l’autre. Toutefois, la relative stabilité du trio de tête laisse à penser que certaines mauvaises pratiques ont encore de beaux jours devant elles.
TOP
VULNÉRABILITÉS CRITIQUES (%)
TOP
SECTEURS D’ACTIVITÉ VISÉS (%)
Définitions du mois
Parentes proches des CVE, les CWE permettent de catégoriser les faiblesses logicielles. Une faiblesse est définie comme une condition dans un logiciel ou un matériel qui, dans certaines circonstances, peut entraîner une vulnérabilité. La liste ainsi que les définitions de ces faiblesses sont le fait d’une communauté de participant composée d’entités gouvernementale, d’entreprise ou du milieu universitaire. Afin de rester fidèle à la réalité, la liste des faiblesses est actualisée 3 à 4 fois par an.
L’utilisation première de cette liste est de permettre de prioriser les risques durant le cycle de développement logiciel (SDLC) afin de pouvoir les corriger au plus tôt et ainsi limiter les coûts tant financiers que de développement.
TOP
FAMILLES DE MALWARE (%)
TOP
CATÉGORIES DE MENACES (%)
À propos du cyber threats barometer
Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.
Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.