Tahun lalu menghasilkan lebih dari sekadar reuni Ben Affleck-Jennifer Lopez – analis menemukan jumlah kerentanan plugin WordPress yang dapat dieksploitasi meledak.
Peneliti dari RiskBased Security melaporkan bahwa mereka menemukan jumlah kerentanan Plugin WordPress meningkat tiga digit pada tahun 2021.
“10,359 kerentanan dilaporkan mempengaruhi plugin WordPress pihak ketiga pada akhir tahun 2021,” tim RiskBased Security menjelaskan. “Dari jumlah tersebut, 2.240 kerentanan terungkap tahun lalu, yang merupakan peningkatan 142% dibandingkan tahun 2020.”
Lebih buruk lagi, dari kerentanan plugin WordPress tambahan itu, lebih dari tiga perempat (77 persen) telah diketahui, eksploitasi publik.
Laporan menemukan bahwa 7.592 kerentanan WordPress dapat dieksploitasi dari jarak jauh; 7.993 memiliki eksploitasi publik; dan 4.797 kerentanan WordPress memiliki eksploitasi publik, tetapi tidak ada ID CVE.
Dengan kata lain, organisasi yang mengandalkan CVE tidak akan memiliki visibilitas ke 60 persen dari eksploitasi plugin WordPress yang diketahui publik, kata tim.
Fokus pada Eksploitasi Lebih dari Skor CVSS
Respons yang tepat terhadap munculnya serangan WordPress, menurut tim RiskBased, adalah perubahan mendasar dari memprioritaskan sumber daya berdasarkan seberapa penting risiko bagi organisasi untuk berfokus pada bug yang paling mudah dieksploitasi.
“Rata-rata, Skor CVSSv2 untuk semua kerentanan plugin WordPress adalah 5,5, yang oleh banyak kerangka kerja VM saat ini dianggap sebagai risiko 'sedang', paling banter,” saran tim Keamanan Berbasis Risiko. “Tetapi jika Anda membandingkan titik data ini dengan tajuk berita, Anda mungkin melihat sedikit keterputusan antara praktik dan dampak Manajemen Kerentanan (VM) konvensional.”
Organizations tidak dapat membiarkan peluang mudah ini bagi pelaku ancaman untuk terjebak dalam tumpukan patch, report added.
Tim menunjuk pada pembaruan 10 Januari dari Cybersecurity and Infrastructure Security Agency (CISA) ke Binding Operational Directive yang menguraikan kerentanan dan ancaman aktif terhadap jaringan federal. Pembaruan juga memprioritaskan kerentanan yang mudah dieksploitasi daripada yang memiliki skor CVSS yang lebih tinggi.
“Peristiwa baru-baru ini seperti CISA BOD 22-01 juga mendukung ini karena menunjukkan bahwa pelaku jahat tidak menyukai kerentanan dengan skor keparahan CVSS yang tinggi tetapi malah memilih yang mereka dapat dengan mudah mengeksploitasi,” tambah para peneliti.
Laporan ini menganjurkan pendekatan berbasis risiko, yang mengharuskan tim keamanan untuk memiliki pemahaman yang mendetail dan mendalam tentang aset organisasi dan data berharga untuk membuat keputusan bernuansa yang disesuaikan dengan ancaman terhadap organisasi , daripada skor kaku yang diberikan tanpa konteks.
“Tim keamanan harus memiliki pengetahuan tentang aset mereka, kecerdasan kerentanan komprehensif untuk semua masalah yang diketahui, dan metadata terperinci, yang memungkinkan mereka untuk memeriksa faktor-faktor seperti eksploitabilitas, untuk kemudian mengontekstualisasikan risikonya berpose ke lingkungan mereka.”
PasswordReset: Acara Sesuai Permintaan: Perkuat 2022 dengan str keamanan kata sandi ategy dibangun untuk ancaman hari ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & Streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iVulnerabilities
