Wordfence теперь авторизован в качестве центра нумерации CVE

Wordfence был авторизован программой Common Vulnerabilities and Exposures (CVE®) в качестве CNA ( CVE Numbering Authority), что позволяет компании напрямую назначать номера CVE для новых уязвимостей в ядре WordPress, плагинах и темах. Полномочия предоставлены Mitre Corporation , некоммерческой организацией США, финансируемой из федерального бюджета, которая управляет центрами исследований и разработок. Wordfence ожидает, что возможность создавать назначения CVE ускорит исследование безопасности.

«Поскольку команда Wordfence Threat Intelligence продолжает проводить новаторские исследования безопасности WordPress, Wordfence может более эффективно назначать идентификаторы CVE до публичного раскрытия любых уязвимостей, обнаруженных нашей командой», – сказала Хлоя Чемберленд, аналитик угроз Wordfence. «Это означает, что CVE ID будет немедленно назначен для каждой обнаруженной нами уязвимости, а не ждать назначения от внешнего CNA».

Отсутствие необходимости ждать CVE ID является большим преимуществом для компании, особенно при работе с корпоративными установками, где WordPress используется в сочетании с другим программным обеспечением. Это также помогает сотрудникам службы безопасности расставлять приоритеты и действовать в зависимости от потенциальной серьезности угроз.

«Наши усилия по превращению в CNA имели в виду этих людей, учреждения и персонал предприятия, а также репутацию WordPress в целом», – сказал Чемберленд. «Теперь те, кому поручено обеспечить безопасность WordPress, смогут быстро ссылаться на идентификатор CVE из наших сообщений в блоге, сообщая об уязвимостях в своей организации и обрабатывая приоритеты обновлений безопасности. Мы также надеемся, что, став CNA, Wordfence получит еще больше прямых отчетов от исследователей безопасности ».

Получение статуса CNA упрощает процесс регистрации уязвимостей охранной компанией. Wordfence стала второй компанией, работающей в сфере WordPress и связанных с ним уязвимостей. В январе 2021 года WPScan получил статус центра нумерации CVE . До того, как стать CNA, назначение CVE для каждой уязвимости в базе данных WPScan заняло бы слишком много времени.

«Получение статуса CNA позволило нам помочь исследователям в области безопасности проверять и определять их уязвимости», – сказал основатель и генеральный директор WPScan Райан Дьюхерст. «Это помогло расширить нашу базу данных уязвимостей WordPress и обеспечить безопасность пользователей WordPress. Но это лишь один из источников уязвимостей среди многих других, которые мы используем ».

Процесс превращения Wordfence в CNA оказался на удивление простым. Чемберленд сказал, что компания заполнила регистрационную форму с несколькими вопросами.

«После того, как мы были одобрены и согласованы объемы работ, вам необходимо просмотреть серию ознакомительных видеороликов, которые объясняют процессы, необходимые для CNA», – сказала она. «После этого мы провели ознакомительную встречу, чтобы убедиться, что наша команда полностью обучена протоколам программы CVE. Wordfence потребовалось около месяца, чтобы получить авторизацию в качестве CNA, как только они получили нашу регистрационную форму ».

Исторически экосистема WordPress была магнитом для тех, кто хотел использовать уязвимости, из-за того, что она занимала большое место в сети. Эта тенденция, вероятно, сохранится. Чемберленд считает, что в пространстве WordPress есть место для нескольких CNA.

«У нас сложились прекрасные рабочие отношения с WPScan на протяжении многих лет, и мы ожидаем, что эти отношения продолжатся, поскольку у нас есть аналогичная миссия по обеспечению безопасности сообщества WordPress», – сказала она.

«По мере роста WordPress становится все более привлекательной целью для злоумышленников. Чем больше у нас будет рук, чем лучше мы будем сотрудничать и придерживаться отраслевых стандартов безопасности, тем безопаснее будет WordPress ».

Привлечение большего числа исследователей к сообщениям об уязвимостях является важным преимуществом для компаний, занимающихся безопасностью, которые получают статус CNA, поскольку они, по сути, занимаются продажей данных о защите от уязвимостей. Они предоставляют своим платным клиентам ранний доступ к исправлениям, которые еще не доступны широкой публике. Стать CNA может повысить ценность их бизнеса.

«С ростом WordPress мы ожидаем увидеть больше исследователей безопасности в сфере WordPress», – сказал Чемберленд. «Таким образом, мы неизбежно увидим увеличение количества запросов CVE ID. Наличие нескольких CNA, которые могут назначать идентификаторы CVE ядру, плагинам и темам WordPress, имеет смысл для повышения скорости, с которой исследователи безопасности могут получать идентификаторы CVE, и предоставляет исследователям несколько источников для идентификаторов CVE ».