WordPress-plugin-sårbarheter mer enn doblet seg i 2021

Hva skjedde nå? Tredjeparts WordPress-plugin-sårbarheter økte betydelig i 2021, og mange av dem har fortsatt kjente offentlige utnyttelser. Cybersikkerhetsfirmaet Risk Based Security sa at 10 359 sårbarheter ble rapportert å påvirke tredjeparts WordPress-plugins på slutten av fjoråret, hvorav 2 240 ble avslørt i 2021. Det er en økning på 142 prosent sammenlignet med 2020, men den største bekymringen er det faktum at 77 prosent av alle kjente WordPress-plugin-sårbarheter – eller 7 993 av dem – har kjente offentlige utnyttelser.

En nærmere titt avslørte at 7 592 WordPress-plugin-sårbarheter kan utnyttes eksternt, mens 4 797 har en offentlig utnyttelse, men ingen CVE-ID. For organisasjoner som bare er avhengige av CVE-er for å redusere prioritering, betyr det siste at mer enn 60 prosent av sårbarhetene med en offentlig utnyttelse ikke en gang vil være på radaren deres.

Et annet problem som risikobasert sikkerhet berørt for organisasjoner er deres fokus på kritikalitet fremfor utnyttelse.

Firmaet bemerker at mange organisasjoner kategoriserer sårbarheter med en CVSS-alvorlighetsscore under 7,0 som ikke høy prioritet, og tar derfor ikke opp dem med en gang. Det er et problem med tanke på at gjennomsnittlig CVSS-poengsum for alle WordPress-plugin-sårbarheter er 5.5.

Risk Based Security og andre har observert ondsinnede aktører som favoriserer sårbarheter ikke med høy alvorlighetsgrad, men snarere de som lett kan utnyttes. Gitt dataene og observasjonene, vil det kanskje være lurt for noen organisasjoner å revurdere sine trusselhåndteringsprotokoller.

Bildekreditt: Justin Morgan