Wordfence è stato autorizzato dal Programma Common Vulnerabilities and Exposures (CVE®) come CNA (CVE Numbering Authority), che consente all’azienda di assegnare direttamente i numeri CVE per le nuove vulnerabilità nel core, nei plugin e nei temi di WordPress. L’autorità è concessa da Mitre Corporation, un’organizzazione no-profit statunitense finanziata dal governo federale che gestisce centri di ricerca e sviluppo. Wordfence prevede che la capacità di creare incarichi CVE accelererà la sua ricerca sulla sicurezza.
“Mentre il team di Wordfence Threat Intelligence continua a produrre ricerche rivoluzionarie sulla sicurezza di WordPress, Wordfence può assegnare in modo più efficiente gli ID CVE prima di rivelare pubblicamente qualsiasi vulnerabilità scoperta dal nostro team”, ha affermato Chloe Chamberland, analista delle minacce di Wordfence. “Ciò significa che verrà assegnato immediatamente un ID CVE con ogni vulnerabilità che scopriamo piuttosto che aspettare un incarico da un CNA esterno”.
Non dover attendere un ID CVE è un grande vantaggio per l’azienda, soprattutto quando si lavora con installazioni aziendali in cui WordPress viene utilizzato in combinazione con altri software. Aiuta inoltre il personale addetto alla sicurezza a stabilire le priorità e ad agire in base alla potenziale gravità delle minacce.
“I nostri sforzi per diventare una CNA avevano in mente questi individui, istituzioni e personale aziendale, così come la reputazione di WordPress nel suo insieme”, ha affermato Chamberland. “Ora, coloro che hanno il compito di proteggere WordPress saranno in grado di fare rapidamente riferimento all’ID CVE dai nostri post sul blog quando segnalano vulnerabilità in tutta la loro organizzazione e gestiscono la priorità degli aggiornamenti di sicurezza. Speriamo anche che, essendo una CNA, Wordfence riceverà rapporti ancora più diretti dai ricercatori sulla sicurezza.
Diventare un CNA semplifica il processo di segnalazione delle vulnerabilità di una società di sicurezza. Wordfence è la seconda azienda a diventarlo, operando nell’ambito di WordPress e delle relative vulnerabilità. A gennaio 2021, A WPScan è stato concesso lo status di autorità di numerazione CVE. Prima di diventare un CNA, l’assegnazione di CVE per ogni vulnerabilità nel database di WPScan avrebbe richiesto troppo tempo.
“Diventare una CNA ci ha permesso di aiutare i ricercatori di sicurezza a verificare e valutare le loro vulnerabilità”, ha affermato il fondatore e CEO di WPScan Ryan Dewhurst. “Ciò ha aiutato a far crescere il nostro database di vulnerabilità di WordPress e a proteggere gli utenti di WordPress. Ma è solo una fonte di vulnerabilità tra le tante che usiamo”.
Il processo per far diventare Wordfence una CNA è stato sorprendentemente semplice. Chamberland ha affermato che la società ha compilato un modulo di registrazione con alcune domande.
“Una volta che siamo stati approvati e concordato un ambito, è necessario guardare una serie di video di onboarding che spiegano i processi richiesti da una CNA”, ha affermato. “Successivamente, abbiamo tenuto una riunione iniziale per garantire che il nostro team fosse completamente formato sui protocolli del programma CVE. Wordfence ha impiegato circa un mese per ottenere l’autorizzazione come CNA una volta ricevuto il nostro modulo di registrazione.
Storicamente, l’ecosistema WordPress è stato una calamita per coloro che cercavano di sfruttare le vulnerabilità, a causa della sua grande impronta sul web. È probabile che questa tendenza continui. Chamberland crede che ci sia spazio per più CNA nello spazio WordPress.
“Abbiamo avuto un ottimo rapporto di lavoro con WPScan nel corso degli anni e ci aspettiamo che questo rapporto continui poiché abbiamo una missione simile nell’aiutare a proteggere la comunità di WordPress”, ha affermato.
“Man mano che WordPress cresce, diventa un obiettivo più ampio e più attraente per gli attori malintenzionati. Più mani abbiamo sul ponte e meglio collaboriamo e aderiamo alle pratiche di sicurezza standard del settore, più sicuro sarà WordPress”.
Attirare più ricercatori per segnalare le vulnerabilità è un grande vantaggio per le società di sicurezza che ottengono lo status di CNA, dal momento che si occupano essenzialmente di vendere dati di protezione dalle vulnerabilità. Danno ai loro clienti a pagamento l’accesso anticipato alle patch che non sono ancora disponibili al pubblico in generale. Diventare una CNA ha il potenziale per aumentare il valore che le loro attività possono fornire.
“Con questa crescita di WordPress, ci aspettiamo di vedere più ricercatori sulla sicurezza nello spazio WordPress”, ha detto Chamberland. “In quanto tale, siamo destinati a vedere un aumento delle richieste di ID CVE. Avere più CNA in grado di assegnare ID CVE al core di WordPress, plugin e temi ha senso per migliorare la velocità con cui i ricercatori di sicurezza possono ottenere ID CVE e fornisce ai ricercatori più fonti per gli ID CVE.