Živě Premium
V roce 2021 výrazně vzrostl počet zjištěných zranitelností v zásuvných modulech pro redakční systém WordPress. Mnohé z nich přitom nebyly opraveny a jsou tak zneužitelné útočníky, uvádí kyberbezpečnostní firma Risk Based Security.

V roce 2021 výrazně vzrostl počet zjištěných zranitelností v zásuvných modulech pro redakční systém WordPress. Mnohé z nich přitom nebyly opraveny a jsou tak zneužitelné útočníky, uvádí kyberbezpečnostní firma Risk Based Security.

Ke konci loňského roku bylo evidováno 10 359 bezpečnostních zranitelností týkajících se pluginů vyvíjených třetími stranami. 2 240 z nich bylo odhaleno v roce 2021, což znamená 142% nárůst oproti roku 2020. Větší obavy však vzbuzuje skutečnost, že 77 % všech známých zranitelností – neboli 7 993 z nich – má veřejně známá zneužití.

Ke konci loňského roku bylo evidováno 10 359 bezpečnostních zranitelností týkajících se pluginů vyvíjených třetími stranami. 2 240 z nich bylo odhaleno v roce 2021, což znamená 142% nárůst oproti roku 2020. Větší obavy však vzbuzuje skutečnost, že 77 % všech známých zranitelností – neboli 7 993 z nich – má veřejně známá zneužití.

„I když je nárůst počtu zranitelností zásuvných modulů pro WordPress sám o sobě alarmující, hlavní obavy vzbuzuje jejich potenciál pro zneužití. Ze všech známých zranitelností jsou u 77 % veřejně známy možnosti jejich zneužití.“ uvádí zpráva.

„I když je nárůst počtu zranitelností zásuvných modulů pro WordPress sám o sobě alarmující, hlavní obavy vzbuzuje jejich potenciál pro zneužití. Ze všech známých zranitelností jsou u 77 % veřejně známy možnosti jejich zneužití.“ uvádí zpráva.

Bližší pohled odhaluje, že 7 592 zranitelností zásuvných modulů je možné zneužít na dálku, zatímco 4 797 má veřejný exploit, ale nemá přidělen identifikátor CVE ID. Pro organizace, které se při určování priorit spoléhají pouze na CVE, to znamená, že více než 60 % zranitelností s veřejným zneužitím se ani nedostane do jejich hledáčku.

Bližší pohled odhaluje, že 7 592 zranitelností zásuvných modulů je možné zneužít na dálku, zatímco 4 797 má veřejný exploit, ale nemá přidělen identifikátor CVE ID. Pro organizace, které se při určování priorit spoléhají pouze na CVE, to znamená, že více než 60 % zranitelností s veřejným zneužitím se ani nedostane do jejich hledáčku.

Dalším problémem je časté zaměření na kritičnost namísto možné zneužitelnosti. Mnoho firem totiž klasifikuje zranitelnosti se skórem závažnosti nižším než 7,0 jako zranitelnosti s nízkou prioritou, a proto se jimi hned nezabývají. To je problém vzhledem k tomu, že průměrné skóre všech zranitelností pluginů pro WordPress je 5,5.

Dalším problémem je časté zaměření na kritičnost namísto možné zneužitelnosti. Mnoho firem totiž klasifikuje zranitelnosti se skórem závažnosti nižším než 7,0 jako zranitelnosti s nízkou prioritou, a proto se jimi hned nezabývají. To je problém vzhledem k tomu, že průměrné skóre všech zranitelností pluginů pro WordPress je 5,5.

V současnosti existuje asi 58 tisíc bezplatných pluginů pro WordPress a další desítky tisíc lze zakoupit. Některé z nich mají více než 500 000 instalací, bohužel jen část je navržena s ohledem na bezpečnost, takže jedna zranitelnost může potenciálně ovlivnit miliony uživatelů po celém světě.

V současnosti existuje asi 58 tisíc bezplatných pluginů pro WordPress a další desítky tisíc lze zakoupit. Některé z nich mají více než 500 000 instalací, bohužel jen část je navržena s ohledem na bezpečnost, takže jedna zranitelnost může potenciálně ovlivnit miliony uživatelů po celém světě.

Dle zjištění Risk Based Security přitom útočníci neupřednostňují zranitelnosti s vysokým skórem závažnosti, ale spíše ty, které lze snadno zneužít. Vzhledem k těmto údajům a pozorováním by bylo dobré, aby firmy přehodnotily své protokoly pro správu hrozeb. „Bezpečnostní specialisté by měli začít se zranitelnostmi, které jsou zneužitelné na dálku, mají veřejně známý způsob zneužití a známé řešení.“ konstatuje v prohlášení.

Dle zjištění Risk Based Security přitom útočníci neupřednostňují zranitelnosti s vysokým skórem závažnosti, ale spíše ty, které lze snadno zneužít. Vzhledem k těmto údajům a pozorováním by bylo dobré, aby firmy přehodnotily své protokoly pro správu hrozeb. „Bezpečnostní specialisté by měli začít se zranitelnostmi, které jsou zneužitelné na dálku, mají veřejně známý způsob zneužití a známé řešení.“ konstatuje v prohlášení.

Na posledním summitu Gartner Security & Risk Management Summit vyzval hlavní analytik společnosti Gartner Mitchell Schneider organizace, aby se správa zranitelností méně zabývala hromadným záplatováním a dávala přednost řešení nejvíce zneužitelných nedostatků.

Na posledním summitu Gartner Security & Risk Management Summit vyzval hlavní analytik společnosti Gartner Mitchell Schneider organizace, aby se správa zranitelností méně zabývala hromadným záplatováním a dávala přednost řešení nejvíce zneužitelných nedostatků.

Ke konci loňského roku bylo evidováno 10 359 bezpečnostních zranitelností týkajících se pluginů vyvíjených třetími stranami. 2 240 z nich bylo odhaleno v roce 2021, což znamená 142% nárůst oproti roku 2020. Větší obavy však vzbuzuje skutečnost, že 77 % všech známých zranitelností – neboli 7 993 z nich – má veřejně známá zneužití.
„I když je nárůst počtu zranitelností zásuvných modulů pro WordPress sám o sobě alarmující, hlavní obavy vzbuzuje jejich potenciál pro zneužití. Ze všech známých zranitelností jsou u 77 % veřejně známy možnosti jejich zneužití.“ uvádí zpráva.
Bližší pohled odhaluje, že 7 592 zranitelností zásuvných modulů je možné zneužít na dálku, zatímco 4 797 má veřejný exploit, ale nemá přidělen identifikátor CVE ID. Pro organizace, které se při určování priorit spoléhají pouze na CVE, to znamená, že více než 60 % zranitelností s veřejným zneužitím se ani nedostane do jejich hledáčku.
Dalším problémem je časté zaměření na kritičnost namísto možné zneužitelnosti. Mnoho firem totiž klasifikuje zranitelnosti se skórem závažnosti nižším než 7,0 jako zranitelnosti s nízkou prioritou, a proto se jimi hned nezabývají. To je problém vzhledem k tomu, že průměrné skóre všech zranitelností pluginů pro WordPress je 5,5.
8
Fotogalerie

Loni bylo v pluginech pro redakční systém WordPress objeveno dvakrát víc bezpečnostních zranitelností než předloni

Karel Kilián
16. ledna 2022
Diskuze (1)

V roce 2021 výrazně vzrostl počet zjištěných zranitelností v zásuvných modulech pro redakční systém WordPress. Mnohé z nich přitom nebyly opraveny a jsou tak zneužitelné útočníky, uvádí kyberbezpečnostní firma Risk Based Security.

Ke konci loňského roku bylo evidováno 10 359 bezpečnostních zranitelností týkajících se pluginů vyvíjených třetími stranami. 2 240 z nich bylo odhaleno v roce 2021, což znamená 142% nárůst oproti roku 2020. Větší obavy však vzbuzuje skutečnost, že 77 % všech známých zranitelností – neboli 7 993 z nich – má veřejně známá zneužití.

Díry v pluginech pro WordPress

„I když je nárůst počtu zranitelností zásuvných modulů pro WordPress sám o sobě alarmující, hlavní obavy vzbuzuje jejich potenciál pro zneužití. Ze všech známých zranitelností jsou u 77 % veřejně známy možnosti jejich zneužití.“ uvádí zpráva.

Bližší pohled odhaluje, že 7 592 zranitelností zásuvných modulů je možné zneužít na dálku, zatímco 4 797 má veřejný exploit, ale nemá přidělen identifikátor CVE ID. Pro organizace, které se při určování priorit spoléhají pouze na CVE, to znamená, že více než 60 % zranitelností s veřejným zneužitím se ani nedostane do jejich hledáčku.

Dalším problémem je časté zaměření na kritičnost namísto možné zneužitelnosti. Mnoho firem totiž klasifikuje zranitelnosti se skórem závažnosti nižším než 7,0 jako zranitelnosti s nízkou prioritou, a proto se jimi hned nezabývají. To je problém vzhledem k tomu, že průměrné skóre všech zranitelností pluginů pro WordPress je 5,5.

Je nutné změnit způsob záplatování

V současnosti existuje asi 58 tisíc bezplatných pluginů pro WordPress a další desítky tisíc lze zakoupit. Některé z nich mají více než 500 000 instalací, bohužel jen část je navržena s ohledem na bezpečnost, takže jedna zranitelnost může potenciálně ovlivnit miliony uživatelů po celém světě.

Dle zjištění Risk Based Security přitom útočníci neupřednostňují zranitelnosti s vysokým skórem závažnosti, ale spíše ty, které lze snadno zneužít. Vzhledem k těmto údajům a pozorováním by bylo dobré, aby firmy přehodnotily své protokoly pro správu hrozeb. „Bezpečnostní specialisté by měli začít se zranitelnostmi, které jsou zneužitelné na dálku, mají veřejně známý způsob zneužití a známé řešení.“ konstatuje v prohlášení.

Na posledním summitu Gartner Security & Risk Management Summit vyzval hlavní analytik společnosti Gartner Mitchell Schneider organizace, aby se správa zranitelností méně zabývala hromadným záplatováním a dávala přednost řešení nejvíce zneužitelných nedostatků.

Vstoupit do diskuze (1)

Určitě si přečtěte

Články odjinud