WordPressi pistikprogrammide haavatavused suurenesid 2021. aastal enam kui kahekordselt

Mis just juhtus? Kolmandate osapoolte WordPressi pistikprogrammide haavatavused suurenesid 2021. aastal märkimisväärselt ja paljudel neist on endiselt teadaolevad avalikud ärakasutused. Küberturbefirma Risk Based Security teatas, et eelmise aasta lõpus mõjutas kolmandate osapoolte WordPressi pistikprogramme 10 359 turvaauku, millest 2240 avalikustati 2021. aastal. See on 142-protsendiline kasv võrreldes 2020. aastaga, kuid suuremat muret valmistab asjaolu, et 77 protsendil kõigist teadaolevatest WordPressi pistikprogrammide haavatavustest – ehk 7993 neist – on teada avalikud ärakasutused.

Lähemal vaatlusel selgus, et 7592 WordPressi pistikprogrammi turvaauku on kaugkasutatavad, samas kui 4797-l on avalik ärakasutamine, kuid puudub CVE ID. Organisatsioonide jaoks, mis toetuvad leevendusprioriteetidele ainult CVE-dele, tähendab viimane, et enam kui 60 protsenti avaliku ärakasutamise turvaaukudest ei ilmu isegi nende radarile.

Teine riskipõhise turvalisuse probleem, mida organisatsioonide puhul puudutas, on keskendumine kriitilisusele, mitte kasutatavusele.

Ettevõte märgib, et paljud organisatsioonid kategoriseerivad turvaauke, mille CVSS-i raskusaste on alla 7,0, mitte esmatähtsaks ja seetõttu ei käsitle neid kohe. See on probleem, arvestades, et kõigi WordPressi pistikprogrammide haavatavuste keskmine CVSS-skoor on 5,5.

Risk Based Security ja teised on täheldanud pahatahtlikke tegureid, kes eelistavad turvaauke mitte kõrge raskusastmega, vaid pigem neid, mida saab kergesti ära kasutada. Arvestades andmeid ja tähelepanekuid, oleks ehk mõnel organisatsioonil mõistlik oma ohuhaldusprotokollid uuesti läbi vaadata.

Pildi krediit: Justin Morgan