WordPress-laajennusten haavoittuvuudet yli kaksinkertaistuivat vuonna 2021

Mitä juuri tapahtui? Kolmannen osapuolen WordPress-laajennusten haavoittuvuudet lisääntyivät merkittävästi vuonna 2021, ja monilla niistä on edelleen tunnettuja julkisia hyväksikäyttöjä. Kyberturvallisuusyritys Risk Based Security sanoi, että viime vuoden lopussa 10 359 haavoittuvuuden ilmoitettiin vaikuttavan kolmansien osapuolien WordPress-laajennuksiin, joista 2 240 julkistettiin vuonna 2021. Se on 142 prosenttia enemmän kuin vuonna 2020, mutta suurempi huolenaihe on se, että 77 prosentilla kaikista tunnetuista WordPress-laajennuksen haavoittuvuuksista – tai niistä 7 993:lla – on tunnettuja julkisia hyväksikäyttöjä.

Tarkempi tarkastelu paljasti, että 7 592 WordPress-laajennuksen haavoittuvuutta on etäkäyttökelpoisia, kun taas 4 797:llä on julkinen hyväksikäyttö, mutta ei CVE-tunnusta. Organisaatioille, jotka luottavat vain CVE:ihin lieventämisen priorisoinnissa, jälkimmäinen tarkoittaa, että yli 60 prosenttia julkisesti hyödynnetyistä haavoittuvuuksista ei edes ole niiden tutkalla.

Toinen ongelma, johon riskiperusteinen tietoturva on kiinnitetty organisaatioille, on niiden keskittyminen kriittisyyteen hyödynnettävyyden sijaan.

Yritys huomauttaa, että monet organisaatiot luokittelevat haavoittuvuuksia, joiden CVSS:n vakavuusaste on alle 7,0, eivät ole ensisijaisia, eivätkä siksi puutu niihin heti. Se on ongelma, koska kaikkien WordPress-laajennuksen haavoittuvuuksien keskimääräinen CVSS-pistemäärä on 5,5.

Risk Based Security ja muut ovat havainneet haitallisia toimijoita, jotka suosivat haavoittuvuuksia ei korkeilla vakavuuspisteillä, vaan niitä, joita voidaan helposti hyödyntää. Tietojen ja havaintojen perusteella joidenkin organisaatioiden olisi ehkä viisasta harkita uudelleen uhkien hallintakäytäntöjään.

Kuvan luotto: Justin Morgan