Wordfence a été autorisé par le programme Common Vulnerabilities and Exposures (CVE®) en tant que CNA (CVE Numbering Authority), qui permet à l’entreprise d’attribuer directement des numéros CVE pour les nouvelles vulnérabilités dans le noyau, les plugins et les thèmes WordPress. L’autorité est accordée par Mitre Corporation, un organisme américain à but non lucratif financé par le gouvernement fédéral qui gère des centres de recherche et de développement. Wordfence prévoit que la possibilité de créer des affectations CVE accélérera ses recherches en matière de sécurité.
« Alors que l’équipe Wordfence Threat Intelligence continue de produire des recherches de sécurité WordPress révolutionnaires, Wordfence peut attribuer plus efficacement des identifiants CVE avant de divulguer publiquement toute vulnérabilité découverte par notre équipe », a déclaré Chloe Chamberland, analyste des menaces de Wordfence. « Cela signifie qu’un ID CVE sera immédiatement attribué à chaque vulnérabilité que nous découvrons plutôt que d’attendre une attribution d’un CNA externe. »
Ne pas avoir à attendre un identifiant CVE est un avantage majeur pour l’entreprise, en particulier lorsque vous travaillez avec des installations d’entreprise où WordPress est utilisé en combinaison avec d’autres logiciels. Il aide également le personnel de sécurité à hiérarchiser et à agir en fonction de la gravité potentielle des menaces.
« Nos efforts pour devenir une ANC avaient à l’esprit ces personnes, ces institutions et le personnel de l’entreprise, ainsi que la réputation de WordPress dans son ensemble », a déclaré Chamberland. « Désormais, les personnes chargées de sécuriser WordPress pourront rapidement référencer l’ID CVE à partir de nos articles de blog lors du signalement des vulnérabilités dans l’ensemble de leur organisation et de la gestion de la priorisation des mises à jour de sécurité. Nous espérons également qu’en étant un CNA, Wordfence recevra encore plus de rapports directs de chercheurs en sécurité. »
Devenir CNA simplifie le processus de soumission des vulnérabilités d’une entreprise de sécurité. Wordfence est la deuxième entreprise à en devenir une, opérant dans le cadre de WordPress et des vulnérabilités associées. En janvier 2021, WPScan a obtenu le statut d’autorité de numérotation CVE. Avant de devenir CNA, attribuer des CVE pour chaque vulnérabilité dans la base de données de WPScan aurait pris trop de temps.
« Devenir CNA nous a permis d’aider les chercheurs en sécurité à vérifier et à trier leurs vulnérabilités », a déclaré Ryan Dewhurst, fondateur et PDG de WPScan. « Cela a contribué à développer notre base de données de vulnérabilités WordPress et à assurer la sécurité des utilisateurs de WordPress. Mais ce n’est qu’une source de vulnérabilités parmi tant d’autres que nous utilisons.
Le processus pour que Wordfence devienne une ANC était étonnamment simple. Chamberland a déclaré que la société avait rempli un formulaire d’inscription avec quelques questions.
« Une fois que nous avons été approuvés et convenus d’un champ d’application, vous devez regarder une série de vidéos d’intégration qui expliquent les processus requis d’un CNA », a-t-elle déclaré. « Après cela, nous avons eu une réunion d’intégration pour nous assurer que notre équipe était entièrement formée sur les protocoles du programme CVE. Il a fallu environ un mois à Wordfence pour être autorisé en tant qu’AIIC une fois qu’ils ont reçu notre formulaire d’inscription.
Historiquement, l’écosystème WordPress a été un aimant pour ceux qui cherchent à exploiter les vulnérabilités, en raison de sa grande empreinte sur le Web. Cette tendance devrait se poursuivre. Chamberland pense qu’il y a de la place pour plusieurs CNA dans l’espace WordPress.
« Nous avons eu une excellente relation de travail avec WPScan au fil des ans, et nous espérons que cette relation se poursuivra car nous avons une mission similaire pour aider à sécuriser la communauté WordPress », a-t-elle déclaré.
« À mesure que WordPress se développe, il devient une cible plus grande et plus attrayante pour les acteurs malveillants. Plus nous avons de mains sur le pont, et mieux nous collaborons et adhérons aux pratiques de sécurité standard de l’industrie, plus WordPress sera sûr.
Attirer davantage de chercheurs pour signaler les vulnérabilités est un avantage majeur pour les entreprises de sécurité qui obtiennent le statut de CNA, car elles vendent essentiellement des données de protection contre les vulnérabilités. Ils donnent à leurs clients payants un accès anticipé à des correctifs qui ne sont pas encore disponibles pour le grand public. Devenir CNA a le potentiel d’augmenter la valeur que leurs entreprises peuvent apporter.
« Avec cette croissance de WordPress, nous nous attendons à voir plus de chercheurs en sécurité dans l’espace WordPress », dit Chamberland. « En tant que tel, nous allons forcément assister à une augmentation des demandes d’ID CVE. Avoir plusieurs CNA qui peuvent attribuer des identifiants CVE au noyau, aux plugins et aux thèmes WordPress est logique pour améliorer la vitesse à laquelle les chercheurs en sécurité peuvent obtenir des identifiants CVE, et fournit aux chercheurs plusieurs sources pour les identifiants CVE.
Source link