Uzmanlar, farklı WordPress eklentilerini etkileyen güvenlik açıklarının 2021’de bir önceki yıla göre %142 arttığını açıkladı.
Yaklaşık 58.000 ücretsiz eklentinin yanı sıra satın alınabilecek “on binlerce” eklentiyi içeren WordPress ekosisteminin durumunu analiz eden Risk Tabanlı Güvenlik, güvenlik açıklarında 2.240’a ulaşan artışın “endişe verici” olduğunu söylüyor.
Bununla birlikte, daha da endişe verici olan, bu güvenlik açıklarının istismar edilebilirliğidir. Bilinen tüm kusurların dörtte üçünden fazlası (%77) istismar edilebilir niteliktedir (bilinen kamu açıklarına sahiptir).
Önce en büyük tehditleri ele almak
Bu kusurların çoğu kullanılabilir olsa da, tümü için ortalama CVSSv2 puanı 5.5’tir ve bu da potansiyel bir sorun yaratır. Çoğu kuruluş, önem derecesi puanı 7,0’dan düşük olan güvenlik açıklarının önceliğini düşürme eğilimindedir; bu, yapmaları gereken bir şey değildir.
Bilinen açıklardan yararlanmalara sahip güvenlik açıklarından 7.592’si uzaktan kullanılabilir, 7.993’ü açık açıktan yararlanır, 4.797’si açık açıktan yararlanır, ancak CVE kimliği yoktur. CVE/NVD’ye güvenen kuruluşlar için bu özellikle endişe vericidir, çünkü bilinen kamu istismarlarıyla ilgili sorunların %60’ından habersiz olacaklardır.
Araştırmacılar, “Bu güvenlik açıklarının etkisini tam olarak anlamak için kuruluşların risk temelli bir yaklaşım benimsemesi gerekecek” sonucuna varıyor. “Bazı WordPress eklentilerinin 500.000’den fazla yüklemeye sahip olduğunu iddia etse de, bu, tüm işletmelerin bunları kullandığı anlamına gelmez. Güvenlik ekiplerinin varlıkları hakkında bilgiye, bilinen tüm sorunlar için kapsamlı güvenlik açığı istihbaratına ve istismar edilebilirlik gibi faktörleri incelemelerine ve ardından çevreleri için oluşturduğu riski bağlamsallaştırmalarına olanak tanıyan ayrıntılı meta verilere sahip olmaları gerekecek.”
Tehditleri tetiklerken, güvenlik uzmanları önce uzaktan istismar edilebilir olanlarla başlamalı, ardından genel istismara sahip olanlara geçmeli ve bilinen bir çözüme sahip olmalıdır. WordPress eklenti sorunları önemli varlıkları etkiliyorsa, önce bunlar önceliklendirilmelidir.
“Bu tür sorunları çözerek kuruluşlar, çözüm verileri mevcut olduğundan zamandan tasarruf ederken kendilerini olası saldırılara karşı en iyi şekilde koruyabilirler. Araştırmacılar, riske dayalı bu yaklaşımın, ciddiyete dayalı geleneksel Güvenlik Açığı Yönetimi modellerinden daha etkili olduğunu kanıtlayacak.”