Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
Di WordPress già abbiamo parlato l’ultima volta, inseguendo il momento, la cronaca di nuove vulnerabilità emergenti.
Ma ora che il 2021 è alle spalle, è anche il momento di fare un consuntivo delle vulnerabilità nell’ecosistema WordPress che abbiamo già detto essere vasto e quindi importante.
Avete in mente un evento significativo del 2021 che abbia attirato l’interesse dei più? Ebbene, mai quanto WordPress per gli agenti di minaccia: nel solo 2021 sono state segnalate 2.240 vulnerabilità di plug-in terze parti per WordPress, portanto a 10359 il numero delle vulnerabilità note per questo sistema (dalla sua nascita che risale al 2007).
Si tratta di un incremento pari al 142% rispetto al 2020: se non è indice di interesse questo.
La cosa può sembrare già di per sé allarmante considerando questo in termini numerici assoluti, ma quando si guarda anche alla qualità delle vulnerabilità, le cose, per quanto possibile, peggiorano ulteriormente: 7993 vulnerabilità, più di ¾, il 77% del totale posseggono un exploit pubblico, ossia un metodo, un software capace dello sfruttamento delle stesse.
Ci sono altri numeri che aumentano l’agitazione degli addetti ai lavori.
Di tutte le vulnerabilità note, 7592 (73%) sono sfruttabili da remoto contro le 2767 che lo sono altrimenti. Un altro indicatore significativo è esistenza di 4797 vulnerabilità (46% sul totale e 60% sulle 7993 vulnerabilità con exploit pubblico) che possiedono un exploit pubblico ma non sono state mai censite da un CVE ID.
Questo è il dato più allarmante, in quanto toglie, alla vista di coloro che si affidano ai CVE quali strumenti di indagine, oltre il 60% delle vulnerabilità sfruttabili. Questo non è affatto strano se si considera il divario tra conoscenza ed esistente che soffre l’intelligence sulle minacce in questo ecosistema, fatto di oltre 58000 plug-in di libera fruizione, con una platea di milioni di installazioni e più alto numero ancora di utenti.
Un altro parametro da non sottovalutare è il valore medio dell’indice CVSSv2 assegnato alle vulnerabilità WordPress; risulta infatti che questo si aggira intorno al 5.5, il che significa un rischio moderato per molti framework di sicurezza, con una non trascurabile tendenza quindi alla sottovalutazione del problema.
Ma c’è chi ha deciso di cambiare prospettiva.
L’agenzia di sicurezza statunitense CISA (Cybersecurity and Infrastructure Security Agency) ha recentemente dato indicazioni (a livello federale, in realtà come direttive vincolanti) sull’opportunità di dare priorità alle minacce basate su vulnerabilità facilmente sfruttabili rispetto all’eventuale punteggio CVSS elevato.
Questo, evidentemente, in virtù di rapporti recenti sulla valutazione dei comportamenti degli attori di minaccia (cfr. CISA BOD 22-01) che mostrano di non prediligere lo sfruttamento di vulnerabilità con CVSS elevati, ma invero optano per quelle che possono facilmente sfruttare.
Forse, pur senza vincoli, è un suggerimento che dovremmo accettare tutti.
