Plus de 10 000 vulnérabilités ont déjà été découvertes durant le premier semestre 2018
Plus de 10 000 vulnérabilités ont déjà été découvertes durant le premier semestre 2018,
d'après un rapport qui s'attend à la même tendance au 2S18
L'année 2018 pourrait être une autre année record pour les vulnérabilités, avec plus de 10 000 qui ont déjà été divulguées au cours du premier semestre qui s’est achevé en juin.
C’est en tout cas ce que révèle le rapport VulnDB QuickView 2018 de Risk Based Security (RBS) :
« Le nombre de vulnérabilités divulguées au premier semestre de 2018 était à son plus haut niveau, mais avec à peine un peu plus de vulnérabilités que l'année dernière. Bien qu’aucune augmentation significative n’ait eu lieu de 2014 à 2016, le nombre de vulnérabilités a bondi de 28,1% au premier semestre 2017, alors qu’elles n’augmentaient que de 0,1% au premier semestre 2018. Malgré cette petite augmentation, RBS s'attend à ce que 2018 poursuive sa tendance et établisse un nouveau record annuelle pour les vulnérabilités divulguées ».
RBS a donné plus de détails pour mieux observer les tendances du premier semestre 2018 par rapport à 2017. Janvier a vu une petite augmentation (3,62%) par rapport à l’année précédente, alors que février a connu un bond considérable (24,32%). En mars s'est produit une diminution significative au moment de ce rapport (-15,30%). RBS note cependant qu’il est typique que, tout au long de l'année, des vulnérabilités soient ajoutées pour les mois précédents. Raison pour laquelle RBS s’attend à un accroissement du nombre de vulnérabilités divulguées en juillet 2018.
Ci-dessous sont des vues côte à côte du nombre total de vulnérabilités dans VulnDB par rapport aux vulnérabilités disposant d’un identifiant CVE attribué et lié à une divulgation publique pour le premier semestre de chaque année entre 2014 à 2018. Les graphiques montrent très clairement que les organisations qui se limitent aux vulnérabilités disposant d’un identifiant CVE peuvent passer à côté d’autres vulnérabilités.
« Si une organisation n’est pas au courant de toutes les vulnérabilités, comment peut-elle s’assurer d’agir pour en protéger ses actifs ? De plus, de nombreux CVE sont publiés beaucoup plus tard que les vulnérabilités dans VulnDB », assure le rapport.
L’organisation a également fourni des détails sur le nombre de vulnérabilités associées à leur score de sévérité CVSSv2 par mois. En plus d'avoir le moins de vulnérabilités étant classées dans la catégorie de gravité « faible » (7,6% entre 0,0 et 3.9 sur 10), le mois de février a présenté également le plus grand nombre de vulnérabilités critiques (19,6% entre 9,0 et 10,0 sur 10). Le pic en février peut être attribué en grande partie à plus de 280 vulnérabilités critiques corrigées dans les dispositifs mobiles Samsung. Comme à l'accoutumée, la majorité des divulgations continuent de se situer dans la fourchette de sévérité « moyenne » (4,0 à 6,9).
La base de données nationale sur les vulnérabilités (National Vulnerability Database -NVD) est le référentiel du gouvernement des États-Unis pour les données de gestion des vulnérabilités normalisées représentées à l'aide du protocole SCAP (Security Content Automation Protocol). Ces données permettent l'automatisation de la gestion des vulnérabilités, des mesures de sécurité et de la conformité. NVD inclut des bases de données de listes de contrôle de sécurité, des failles logicielles liées à la sécurité, des erreurs de configuration, des noms de produits et des mesures d'impact. NVD prend en charge le programme ISAP (Information Security Automation Program).
En plus de fournir une liste de vulnérabilités et d'expositions communes (Common Vulnerabilities and Exposures - CVE), la NVD évalue les vulnérabilités à l'aide du système CVSS (Common Vulnerability Scoring System), basé sur un ensemble d'équations utilisant des métriques telles que la complexité d'accès et la disponibilité d'un correctif.
Le rapport indique qu’il y a 1 524 vulnérabilités (étant catégorisés dans risque élevé et dans grave) qui n'ont pas été cataloguées par NVD.
De toutes les vulnérabilités signalées en 2018, 58% ont affecté l'intégrité des produits. Cela va de différents types de manipulation de données et de problèmes de script intersite à l'injection SQL et l'exécution de code.
Environ la moitié de toutes les vulnérabilités signalées en 2018 ont un vecteur d'attaque à distance suivi de près d'un tiers ayant un vecteur d'attaque assisté par l'utilisateur (dépendant du contexte). Globalement, un peu plus de 10% des vulnérabilités signalées nécessitent un accès local à un système ou à un périphérique. Des vulnérabilités nécessitant un accès sans fil, un sous-ensemble de «Remote», ne représentait que 1,1%. Environ 6,6% des vulnérabilités étaient liées aux appareils mobile, quel que soit l'emplacement de l'exploit.
Un grand nombre de vulnérabilités signalées en 2018 ont des versions mises à jour ou des correctifs disponibles. Cependant, 25,6% des vulnérabilités signalées ne disposent actuellement d'aucune solution connue.
« Cela souligne que, bien que les correctifs soient très importants, ils ne peuvent pas être l’unique solution. Une approche de la gestion des vulnérabilités qui se veut moderne ne doit pas se limiter à la gestion des correctifs; elle doit utiliser les détails sur la vulnérabilité pour comprendre et hiérarchiser les mesures d'atténuation afin de faire face aux menaces en constante évolution. Les informations détaillées sur les menaces auxquelles votre organisation est confrontée peuvent être utilisées pour mieux mettre en œuvre des mesures d'atténuation plus larges, y compris des contrôles de sécurité compensatoires ».
Source : RBS
Voir aussi :
17 vulnérabilités découvertes dans des infrastructures automatisées de villes intelligentes, huit d'entre elles sont considérées comme étant critiques
Répondre avec citation
Partager