باختصار تم إصدار تحديث أمني مهم للمكون الإضافي Jetpack الموجود في WordPress في الأسبوع الماضي. يجب على مسؤولي الموقع التأكد من تثبيت أحدث إصدار للحفاظ على أمان مواقعهم.
Jetpack هو مكون إضافي لبرنامج WordPress تم تطويره بواسطة Automattic، ويقدم ميزات مثل تصفية مكافحة البريد العشوائي وتحليلات الموقع والمزيد. هو – هي”https://jetpack.com/blog/jetpack-13-9-1-critical-security-update/” rel=”nofollow”>أفرج عنه تصحيحات أمنية لـ 101 إصدار مختلف تعود إلى الإصدار 3.9.9 لعام 2016، والذي أحدث خللًا موجودًا في المنتج منذ ذلك الحين.
“During an internal security audit, we found a vulnerability with the Contact Form feature in Jetpack,” قال الفريق. “This vulnerability could be used by any logged in users on a site to read forms submitted by visitors on the site.”
بمعنى آخر، لديها إمكانية كبيرة لإحداث الضرر – في ظروف معينة جدًا.
تدعي Jetpack أنه لا يوجد دليل على أن الثغرة الأمنية قد تم استغلالها على الإطلاق، لكنها تتوقع أن ذلك لن يستمر الآن بعد أن تم إخبار العالم بالأمر.
“Now that the update has been released, it is possible that someone will try to take advantage of this vulnerability,” وأشار Jetpack. لم يتضمن المنشور CVE في تحديثه المذكور، وليس من الواضح ما إذا كان قد تم تعيينه منذ ذلك الحين. لقد تواصلنا مع فريق Jetpack للتعليق، لكنهم لم يردوا.
كما أشار آخرون، كان Jetpack منذ فترة طويلة جزءًا قياسيًا من أي موقع WordPress جديد، مما يعني أنه موجود في الكثير من الأماكن – تقريبًا”https://www.scworld.com/news/jetpack-patches-critical-bug-that-exposed-data-on-27m-wordpress-sites” rel=”nofollow”> 27 مليون موقع بتقدير واحد. وقالت إنه كان من المفترض أن يتم تثبيت الإصدار المحدث تلقائيًا على جميع مواقع الويب المتأثرة، لذلك لا يحتاج مسؤولو WordPress بالضرورة إلى الذعر.
ومع ذلك، لا تزال فكرة جيدة أن تقوم بالتحقق مرة أخرى من إصدار Jetpack لديك للتأكد من أنك لا تستخدم الإصدار القديم بعد.
نقاط الضعف الحرجة لهذا الأسبوع
هناك مشكلة رئيسية واحدة فقط يجب الإبلاغ عنها هذا الأسبوع والتي لم تتم تغطيتها في أي مكان آخر، ولكنها أمر مثير للقلق لأي شخص يستخدم برنامج Veeam للنسخ الاحتياطي والنسخ الاحتياطي.
CVE-2024-40711، مع درجة CVSS 9.8، هو إلغاء تسلسل ثغرة البيانات غير الموثوق بها والتي يمكن أن تسمح لمهاجم عن بعد غير مصادق عليه بتنفيذ التعليمات البرمجية. إنه موجود في إصدار برنامج Veeam Backup & Replication 12.1.2.172 والإصدارات الأقدم، لذا قم بتثبيت هذه التحديثات في أسرع وقت ممكن.
تم تصحيح Veeam أيضًا”https://nvd.nist.gov/vuln/detail/CVE-2024-40711″ rel=”nofollow”>أخرى هناك ثغرات أمنية هذا الأسبوع، بما في ذلك زوج من مشكلات CVSS 8.8 التي تسمح بتجاوز MFA وتسرب البيانات. احصل على الترقيع.
قواعد الإبلاغ عن الحوادث الإلكترونية الجديدة للاتحاد الأوروبي تدخل حيز التنفيذ
الاتحاد الأوروبي لديه”https://ec.europa.eu/commission/presscorner/detail/en/ip_24_5342″ rel=”nofollow”> رسميا اعتمدت القواعد الأولى لتنفيذ قاعدة الأمن السيبراني NIS2، لذلك يجب على الشركات في قطاعات البنية التحتية الحيوية الاستعداد لقواعد أكثر صرامة للإبلاغ عن الحوادث بينما تقوم بلدانها الأصلية بتنفيذ اللوائح المحلية الخاصة بها.
شيكل 2، التي عدلت قواعد الأمن السيبراني السابقة ودخلت حيز التنفيذ في عام 2023، تضع العديد من المتطلبات الجديدة على شركات القطاع الحيوي، بما في ذلك منحها 24 ساعة للإبلاغ عن حادث سيبراني و72 ساعة للكشف عن فقدان المعلومات. سيتم فرض غرامة تصل إلى 10 ملايين يورو أو 2 بالمائة من حجم مبيعاتها العالمية على الشركات التي لا تمتثل.
تغطي القاعدة الجديدة الشركات في القطاعات التي يعتبرها المرء عادة بنية تحتية حيوية، ومثل مشاريع القوانين المماثلة في الولايات المتحدة، تسعى جاهدة إلى جعل الشركات تعمل على تحسين تقاريرها لتوحيد معلومات التهديدات.
“In today’s cybersecurity landscape, stepping up our capabilities, security requirements and rapid information sharing with up-to-date rules is of paramount importance,” وقالت مارجريت فيستاجر، رئيسة مكافحة الاحتكار بالاتحاد الأوروبي. “I urge the remaining Member States to implement these rules at national level as fast as possible.”
كن مسموعًا: قم بالتقييم في قائمة CISA للممارسات الأمنية السيئة للمنتج
لقد قامت CISA و FBI بتجميع أ”https://www.cisa.gov/resources-tools/resources/product-security-bad-practices” rel=”nofollow”>مستند ويحدد الممارسات الأمنية السيئة للمنتج، ويريد من الجمهور إبداء رأيه فيما إذا كانت هناك حاجة إلى أي شيء آخر.
تم تصميم الوثيقة ل “software manufacturers who develop software products … used in support of critical infrastructure,” لكن توصياتها تنطبق بنفس القدر على الشركات الأخرى أيضًا. في هذا التقرير، قامت CISA ومكتب التحقيقات الفيدرالي بتحليل ثلاث فئات من الممارسات السيئة – خصائص المنتج، وميزات الأمان، والعمليات والسياسات التنظيمية – التي قالوا إنها تؤثر على التطوير الآمن، وناقشوا عددًا من المشكلات الشائعة التي تقع فيها.
هناك الكثير للتعليق عليه، وربما الأهم من ذلك هو حقيقة أن CISA لاحظت ذلك “non-binding” ويفرض “no requirement” على الشركات أن تتبنى ممارسات أفضل لتطوير البرمجيات الآمنة.
إذا كان لديك رأي حول ذلك، أو أي شيء آخر في مستند CISA/FBI، فيمكنك ذلك”https://www.federalregister.gov/documents/2024/10/16/2024-23869/request-for-comment-on-product-security-bad-practices-guidance” rel=”nofollow”> تكلم برأيك حتى 2 ديسمبر 2024.
بعض الأخبار الجيدة: خدمة الأمن السيبراني المجانية لمدارس المملكة المتحدة
بعد التجربة الناجحة لخدمة DNS الوقائية للمدارس، يقوم المركز الوطني للأمن السيبراني في المملكة المتحدة بتوسيع البرنامج ليشمل المؤسسات التعليمية الأخرى.
يتم تشجيع الصناديق المتعددة الأكاديميات والأكاديميات والمدارس المستقلة ومقدمي خدمات الإنترنت المدرسية على الاشتراك في الخدمة، والتي توفر للمدارس تصفية DNS من Cloudflare وAccenture لتقييد الوصول إلى النطاقات المعروفة باستضافة البرامج الضارة وغيرها من البرامج الضارة.
والأفضل من ذلك، أنه مجاني.
“We have worked closely with the [NCSC] on this service to ensure all schools can now benefit from enhanced cyber resilience at no cost to them and I encourage settings to take advantage of this enhanced protection,” وقال وزير التعليم المبكر البريطاني ستيفن مورغان عن هذه الأخبار.
يمكن للمؤسسات المهتمة”https://www.signin.service.ncsc.gov.uk/auth/realms/ukncsc/protocol/openid-connect/auth?client_id=uui-prod&redirect_uri=https%3A%2F%2Fmy.ncsc.gov.uk%2Foauth2%2Fidpresponse&response_type=code&scope=openid&state=9DU8sI8fJkMswh5Qs1XwVsTwdkBJsfT3SubeDg37SmrcGQfjTBZJ5GK%2FtYrwIoocK4zbjpVXkpL%2BeXYojixWD3yWeuSw6ev3JZzJe9HZiD38%2FmZGJrDMZPyL1Jk4fa9NXOxN%2BOfaXMZ7sA1wQW%2FKQctKuSyKMhaTupvmuZNHjrPuFMUL4AoM4TTgBdpdtGbFkPrjGXJak6oV7gEzu55JiXO9RuE713e0CZ8yYknMSTklcKQzvsiqTlmD9iOZhDClJciojpEkgPOPYXM%2B” rel=”nofollow”> قم بالتسجيل من خلال NCSC.
يتحرك مجرمو الإنترنت بشكل أسرع من أي وقت مضى
في الأيام الخوالي، قبل خمس سنوات، كان يستغرق الأمر أشهرًا حتى يبدأ ممثلو التهديد ومجرمو الإنترنت في الاستفادة من الثغرات المكتشفة حديثًا، ولكن هذه الفترة تقلصت إلى عدة أيام.
أصدر صائدو التهديدات Mandiant من Google ملفًا”https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023″ rel=”nofollow”> تقرير من اتجاهات وقت الاستغلال لعام 2023، ووجدت أنه من عام 2022 إلى عام 2023، تقلص متوسط الوقت المرصود للاستغلال (TTE) من 32 يومًا إلى خمسة أيام فقط، مما يعني أن الجهات الفاعلة في مجال التهديد تتحرك بسرعة لا تصدق في الوقت الحاضر. ولم يكن هذا الانخفاض تدريجيًا أيضًا: من عام 2018 إلى عام 2019، قال مانديانت إنه كان حوالي 63 يومًا، وانخفض إلى 44 في عام 2021، قبل أن ينخفض إلى 32 في عام 2022.
يشير ذلك إلى التحول إلى استغلال نقاط الضعف الجديدة غير المعروفة نسبيًا، وهو ما تؤكده إحصائية أخرى من نفس التقرير: قال الفريق إنه لاحظ أن نسبة n-days إلى صفر يومًا قد تغيرت إلى 30:70. وفي العام الماضي كانت النسبة 38 إلى 62.
“The shifting ratio appears to be influenced more from the recent increase in zero-day usage and detection rather than a drop in n-day usage,” قال مانديانت.
وبعبارة أخرى، لا تنام على بقع يوم الصفر تلك. ®