secara ringkas Kemaskini keselamatan yang sangat penting untuk plugin WordPress yang popular, Jetpack, telah dikeluarkan minggu lepas. Pentadbir laman web disarankan untuk memastikan versi terbaru diinstal bagi menjaga keselamatan laman mereka.
Jetpack adalah plugin WordPress yang dibangunkan oleh Automattic, menyediakan pelbagai ciri seperti penapisan spam, analitik laman, dan banyak lagi. Kedua-dua kemaskini keselamatan telah dikeluarkan untuk 101 versi yang berbeza, bermula dari versi 3.9.9 yang dirilis pada 2016, di mana masalah keselamatan ini telah wujud.
“Semasa audit keselamatan dalaman, kami menemui kerentanan dalam ciri Borang Hubungi di Jetpack,” kata pasukan mereka. “Kerentanan ini boleh digunakan oleh mana-mana pengguna yang log masuk di laman untuk membaca borang yang dihantar oleh pengunjung.”
Ini bermaksud potensi kerugian yang besar dalam situasi tertentu.
Jetpack menyatakan tiada bukti bahawa kerentanan ini pernah dieksploitasi sebelum ini, tetapi mereka meramalkan bahawa situasi ini mungkin berubah setelah mereka mengumumkannya.
“Sekarang setelah kemaskini dikeluarkan, adalah mungkin seseorang akan cuba memanfaatkan kerentanan ini,” tambah Jetpack. Dalam pengumuman tersebut, mereka tidak menyertakan CVE (Common Vulnerabilities and Exposures), dan tidak jelas sama ada satu telah diberikan sejak itu. Kami telah menghubungi pasukan Jetpack untuk mendapatkan maklum balas, tetapi mereka belum memberi jawapan.
Seperti yang dinyatakan oleh pihak lain, Jetpack telah menjadi bagian rutin dalam setiap laman WordPress baru, menjadikannya terdapat di banyak tempat – dianggarkan sekitar 27 juta laman. Jetpack juga menyatakan bahawa versi yang dikemaskini seharusnya telah diinstal secara automatik di semua laman terjejas, jadi pemilik laman web tidak perlu panik. Namun, adalah bijak untuk menyemak semula versi Jetpack anda untuk memastikan anda tidak menggunakan versi lama.
Kerentanan kritikal minggu ini
Hanya satu isu besar untuk dilaporkan minggu ini yang belum dibincangkan, tetapi ia sangat penting untuk sesiapa yang menggunakan perisian Veeam Backup dan Replikasi.
CVE-2024-40711, dengan skor CVSS 9.8, adalah kerentanan deserialization data tidak dipercayai yang membolehkan penyerang jarak jauh yang tidak sah mengeksekusi kod. Ia terdapat dalam versi 12.1.2.172 dan lebih awal untuk Veeam Backup & Replication, jadi pastikan anda menginstal kemaskini secepat mungkin.
Veeam juga telah menampal beberapa kerentanan lain minggu ini, termasuk dua isu dengan CVSS 8.8 yang membolehkan bypass MFA dan eksfiltrasi data. Jadi, segera dapatkan kemaskini!
Peraturan pelaporan insiden siber EU baru berkuat kuasa
EU telah secara rasmi mengadopsi peraturan pertama yang melaksanakan peraturan keselamatan siber NIS2, jadi syarikat dalam sektor infrastruktur kritikal harus bersiap sedia untuk peraturan pelaporan insiden yang lebih ketat ketika negara asal mereka melaksanakan peraturan masing-masing.
NIS2, yang mengubah peraturan keselamatan siber terdahulu dan berkuat kuasa pada tahun 2023, menetapkan beberapa keperluan baru bagi syarikat dalam sektor kritikal, termasuk memberikan mereka 24 jam untuk melaporkan insiden siber dan 72 jam untuk mendedahkan kehilangan maklumat. Syarikat yang gagal mematuhi akan didenda hingga €10 juta atau 2 persen dari pendapatan global mereka.
Peraturan baru ini merangkumi syarikat-syarikat dalam sektor yang biasanya dianggap infrastruktur kritikal, dan mirip dengan undang-undang serupa di AS, berusaha untuk meningkatkan laporan dari syarikat-syarikat bagi mengumpulkan maklumat ancaman.
“Dalam lanskap keselamatan siber hari ini, meningkatkan kemampuan, keperluan keselamatan dan perkongsian maklumat dengan cepat melalui peraturan terkini adalah sangat penting,” kata Ketua Antitrust EU, Margrethe Vestager. “Saya menggesa negara anggota yang lain untuk melaksanakan peraturan ini di peringkat nasional secepat mungkin.”
Suarakan pendapat anda: Beri komen tentang senarai amalan keselamatan produk buruk CISA
CISA dan FBI telah menyusun dokumen yang menggariskan amalan keselamatan produk buruk dan mereka ingin orang ramai memberi pandangan tentang apa lagi yang diperlukan.
Dokumen ini direka untuk “pengeluar perisian yang membangunkan produk perisian … yang digunakan untuk menyokong infrastruktur kritikal,” tetapi saranan tersebut juga sangat relevan untuk firma-firma lain. Dalam dokumen tersebut, CISA dan FBI merincikan tiga kategori amalan buruk – sifat produk, ciri-ciri keselamatan, dan proses serta polisi organisasi – yang dikatakan mempengaruhi pembangunan yang selamat, dan membincangkan sejumlah masalah biasa yang termasuk dalam kategori tersebut.
Anda boleh memberi pandangan anda hingga 2 Disember 2024.
Khabar baik: Perkhidmatan keselamatan siber percuma untuk sekolah-sekolah di UK
Selepas percubaan yang berjaya untuk perkhidmatan DNS perlindungan di sekolah-sekolah, Pusat Keselamatan Siber Nasional UK kini memperluas program ini kepada institusi pendidikan lain.
Trust berbilang akademi, akademi, sekolah bebas dan penyedia perkhidmatan internet sekolah semua digalakkan untuk mendaftar untuk perkhidmatan ini, yang menawarkan saringan DNS dari Cloudflare dan Accenture untuk menghadkan akses kepada domain yang diketahui mengandungi malware dan keburukan lain.
Lebih baik lagi, ia adalah percuma.
“Kami telah bekerjasama dengan [NCSC] untuk perkhidmatan ini bagi memastikan semua sekolah kini dapat menikmati ketahanan siber yang lebih baik tanpa kos untuk mereka, dan saya menggalakkan institusi untuk memanfaatkan perlindungan tambahan ini,” kata menteri pendidikan awal UK, Stephen Morgan.
Institusi yang berminat boleh mendaftar melalui NCSC.
Penjenayah siber bergerak lebih cepat dari sebelumnya
Sebelum ini, penjenayah siber memerlukan beberapa bulan untuk memanfaatkan kelemahan baru yang ditemui, tetapi sekarang masa tersebut telah menyusut kepada beberapa hari.
Pemburu ancaman Mandiant dari Google mengeluarkan laporan mengenai trend masa ke eksploitasi (TTE) 2023 dan mendapati bahawa, dari 2022 ke 2023, masa purata yang diobservasi untuk mengeksploitasi (TTE) telah menyusut daripada 32 hari kepada hanya lima, menunjukkan bahawa penjenayah kini bergerak dengan sangat cepat. Penurunan ini tidak berlaku secara perlahan, tetapi dari 2018 ke 2019 Mandiant melaporkan ia adalah sekitar 63 hari, turun kepada 44 pada 2021, sebelum menurun ke 32 pada 2022.
Ini menunjukkan peralihan kepada mengeksploitasi kerentanan yang baru dan agak tidak dikenali, yang juga ditunjukkan oleh statistik lain dari laporan yang sama: pasukan itu berkata mereka mengamati nisbah n-hari kepada zero-hari telah berubah kepada 30:70. Tahun lepas, nisbahnya adalah 38 kepada 62.
“Nisbah yang berubah ini nampaknya lebih dipengaruhi oleh peningkatan penggunaan dan pengesanan zero-day baru-baru ini daripada penurunan penggunaan n-day,” kata Mandiant.
Dengan kata lain, jangan ambil ringan tentang patch zero-day.®