PluginVulnerabilities.com защищает модераторов форума поддержки WordPress.org, публикуя уязвимости нулевого дня

Служба безопасности под названием Plugin Vulnerabilities , основанная Джоном Гриллотом, проявляет бдительный подход к рассмотрению жалоб на модераторов форума поддержки WordPress.org. Компания протестует против действий модераторов, публикуя уязвимости нулевого дня (те, для которых не выпущен патч), а затем пытается связаться с автором плагина через форумы поддержки WordPress.org:

Из-за того, что модераторы форума поддержки WordPress продолжают ненадлежащее поведение, мы полностью раскрываем уязвимости в знак протеста, пока WordPress не исправит эту ситуацию , поэтому мы публикуем этот пост, а затем только пытаемся уведомить разработчика через форум поддержки WordPress. Вы также можете уведомить разработчика об этой проблеме на форуме. Надеюсь, модераторы, наконец, увидят свет и скоро приведут в порядок свои действия, так что эти полные раскрытия информации больше не понадобятся (мы надеемся, что они скоро закончатся).

В связанных инцидентах, процитированных выше, Гриллот утверждает, что модераторы удалили его комментарии, скрыли проблемы безопасности, вместо того, чтобы пытаться их исправить, и, среди прочего, продвигали определенные охранные компании для исправления взломанных сайтов.

В ответ на это плагин Vulnerabilities опубликовал серию уязвимостей с полным раскрытием с момента инициирования протеста в сентябре 2018 года. В этих сообщениях подробно описано точное расположение уязвимостей в коде вместе с доказательством концепции. За сообщениями следует попытка уведомить разработчика через форум поддержки WordPress.org.

Grillot сказал , что он надеется вернуться к предыдущей политике Plugin Уязвимости ответственного раскрытия , но не закончится протест до WordPress.org модераторов форума поддержки не соответствуют списку того , что он изложил , как „соответствующее поведение.“

Лидерство WordPress в области безопасности в настоящее время переживает переходный период после того, как Аарон Кэмпбелл, глава экосистемы WordPress в GoDaddy, ушел с должности главы службы безопасности в декабре 2018 года. Инженер по технической поддержке Automattic Джейк Сперлок координирует релизы, пока следующий человек будет бороться команда выбрана. Это объявление было сделано на канале #security, но Джозефа Хаден сообщила, что в ближайшее время планируется опубликовать более публичный пост. Кэмпбелл действительно хотел опубликовать подробности того, почему он ушел, но сказал, что он считает важным поменять эту роль и что «дополнительный приток свежей энергии в эту должность действительно полезен».

Когда его спросили о протесте уязвимостей плагина против WordPress.org, Сперлок сослался на правила ответственного раскрытия информации в профиле WordPress Hackerone. Он включает следующие рекомендации относительно публикации уязвимостей:

Дайте нам разумное время, чтобы исправить проблему, прежде чем публиковать какую-либо информацию. Мы глубоко заботимся о безопасности, но, поскольку это проект с открытым исходным кодом, наша команда в основном состоит из добровольцев.

Сперлок сказал, что, поскольку эти рекомендации больше подходят для ядра, работа со сторонними плагинами – более сложный сценарий. В идеале автор плагина должен быть уведомлен первым, чтобы он мог работать с командой плагинов для отправки обновлений и удаления старых версий, которые могут содержать эти уязвимости.

«Проект с открытым исходным кодом WordPress всегда стремится к ответственному раскрытию уязвимостей безопасности», – сказал Сперлок. «У нас есть процесс раскрытия для плагинов и для ядра . Ни один из этих процессов не включает публикацию эксплойтов нулевого дня ».

Компания Grillot не ответила на наш запрос о комментариях, но в недавних сообщениях в блоге компании утверждается, что после ответственного раскрытия информации в прошлом уязвимости иногда «скрываются», а иногда даже остаются незафиксированными .

Модераторы форума поддержки WordPress.org не разрешают людям сообщать об уязвимостях на форумах поддержки или участвовать в обсуждениях, касающихся уязвимостей, которые остаются не исправленными. Предпочтительный способ сообщения – электронная почта plugins@wordpress.org, чтобы команда плагинов могла работать с авторами над своевременным исправлением плагинов.

Однако в мире плагинов Дикого Запада, который включает в себя более 55000 размещенных на WordPress.org, бывают случаи, когда ответственное раскрытие информации разваливается и иногда подводит пользователей. Ответственное раскрытие информации – не идеальная политика, но в целом она работает лучше, чем альтернатива. Служба уязвимостей плагинов даже заявляет, что они намерены вернуться к ответственному раскрытию информации после протеста, по сути признавая, что эта политика – лучший способ сосуществовать с другими в экосистеме плагина.

Между тем, публикация уязвимостей нулевого дня подвергает сайты потенциальным атакам, если автор плагина не может сразу написать исправление. Единственное, что может сделать WordPress.org, – это временно удалить плагин, пока не будет выпущено исправление. Эта мера защищает новых пользователей от загрузки уязвимого программного обеспечения, но ничего не делает для пользователей, у которых уже есть активный плагин. Если владельцы сайтов собираются защитить себя, отключив его до исправления, они должны знать, что плагин уязвим.

Спорный протест против уязвимостей плагинов, который некоторые могут даже назвать неэтичным, может быть не самым вдохновляющим катализатором для улучшения подхода WordPress.org к безопасности. Это симптом более серьезной проблемы. WordPress нуждается в сильном, видимом руководстве по безопасности и команде с выделенными ресурсами для улучшения экосистемы плагинов. Авторам плагинов нужна улучшенная система уведомлений для информирования пользователей о важных обновлениях безопасности внутри администратора WordPress. Большинство пользователей не подписаны на отраслевые блоги и службы безопасности – они зависят от WordPress, чтобы сообщить им, когда важно обновление. Усовершенствование инфраструктуры, доступной разработчикам плагинов, и создание более оптимизированного потока безопасности имеют решающее значение для восстановления репутации экосистемы плагинов.