Wordfence ha lanciato un programma di ricompensa dei bug today per fornire incentivi finanziari ai ricercatori di sicurezza che segnalano vulnerabilità ad alto rischio nel programma dell’azienda.
Dopo che i ricercatori hanno rivelato le vulnerabilità a Wordfence, la società le valuta e le divulga in modo confidenziale ai fornitori per risolverle. Quando la correzione verrà rilasciata, la vulnerabilità verrà inclusa nel database pubblico di Wordfence, a cui è possibile accedere gratuitamente, seguendo una politica di divulgazione responsabile.
“Non esiste alcun limite ai premi che un singolo ricercatore può guadagnare, e ogni singola vulnerabilità nell’ambito ricevuta tramite il nostro processo di invio guadagna una ricompensa”, ha affermato l’analista di sicurezza di Wordfence Chloe Chamberland.
Wordfence premierà i ricercatori che scoprono vulnerabilità nei plugin e nei temi con oltre 50.000 installazioni attive. Alcuni esempi di pagamenti includono quanto segue:
- $ 1.600 per un caricamento di file arbitrario non autenticato, un’esecuzione di codice remoto, un’escalation di privilegi all’amministratore o un aggiornamento di opzioni arbitrarie in un plug-in o tema con oltre un milione di installazioni attive.
- $ 1.060 per l’eliminazione arbitraria di file non autenticati in un plugin o tema con oltre un milione di installazioni attive, presupponendo che wp-config.php possa essere facilmente eliminato.
- $ 800 per un’iniezione SQL non autenticata in un plug-in o tema con oltre un milione di installazioni attive.
- $ 320 per una vulnerabilità di cross-site scripting non autenticato in un plugin o tema con oltre un milione di installazioni attive.
- $ 80 per una vulnerabilità Cross-Site Request Forgery in un plugin o tema con oltre un milione di installazioni attive e un impatto significativo.
“Il nostro programma Bug Bounty è stato progettato per avere il massimo impatto positivo sulla sicurezza dell’ecosistema WordPress”, ha affermato Chamberland. “I premi non vengono guadagnati ricercando in blocco vulnerabilità con impatto minimo e guadagnando un posto in classifica, ma piuttosto si basano sul conteggio delle installazioni attive, sulla criticità della vulnerabilità, sulla facilità di sfruttamento e sulla prevalenza del tipo di vulnerabilità .”
Il lancio del programma bug bounty di Wordfence era chiaramente in competizione per il posizionamento competitivo richiamando indirettamente Patchstack, che gestisce il suo programma su un sistema di classifica dove vengono pagati solo i migliori ricercatori. Ci sono alcune differenze degne di nota, dove alcuni premi vengono assegnati a discrezione, ma la maggior parte dei premi individuali sono per il punteggio più alto in varie categorie:
Patchstack garantisce un montepremi mensile di almeno $2425 (il montepremi più basso possibile). Il membro della Patchstack Alliance che raccoglierà il maggior numero di punti per un determinato mese dai rapporti inviati riceverà una ricompensa di $ 650, il secondo classificato riceverà $ 350 e il terzo riceverà $ 250.
Abbiamo premi extra (tagli singoli) per aver segnalato la vulnerabilità con il CVSS ver. 3.1 punteggio base; il numero più alto di installazioni attive; e per segnalare un gruppo di componenti affetti dalla stessa vulnerabilità.
Patchstack può premiare i singoli membri della Patchstack Alliance a loro discrezione in base all’impatto complessivo delle vulnerabilità scoperte.
Wordfence sta adottando un approccio diverso nel pagare per ogni vulnerabilità segnalata nell’ambito identificato dal programma.
I ricercatori nell’ecosistema WordPress dovrebbero familiarizzare con i vari programmi di bug bounty e determinare la strada migliore per le loro divulgazioni. Alcuni plugin e aziende, come Elementor, Forza del Brainstorming, Automatico, CastoE Motore WPhanno i propri programmi di bug bounty, con una gamma di pagamenti diversi.
“Paghiamo di più per ogni vulnerabilità e paghiamo per ogni vulnerabilità valida presentata”, ha affermato Mark Maunder, CEO di Wordfence. “Riteniamo che questo sia l’unico modo giusto per farlo perché la ludicizzazione di un programma di vulnerabilità è come avere dipendenti che lavorano tutti, ma solo quelli in cima alla classifica vengono pagati. Se invii una vulnerabilità valida, dovresti essere pagato per il tuo lavoro”.
Maunder sostiene che gli incentivi sbagliati stanno riducendo la qualità della ricerca presentata.
“Esiste un numero estremamente elevato di vulnerabilità a basso rischio e di bassa qualità inviate a database come Patchstack”, ha affermato. “Le vulnerabilità che comportano una falsificazione di richieste cross-site ne sono un esempio. Gli incentivi che vediamo là fuori incoraggiano i ricercatori a generare un volume elevato di vulnerabilità a basso rischio per essere ricompensati. Questi numeri elevati vengono poi utilizzati per commercializzare prodotti di sicurezza”.
Maunder ha affermato che Wordfence ha strutturato il suo programma spostando gli incentivi per premiare la ricerca su vulnerabilità ad alto rischio, invece di aumentare le metriche di marketing per un particolare database di vulnerabilità.
“Un volume elevato di vulnerabilità a basso rischio in un particolare database danneggia il settore perché crea lavoro per altre organizzazioni che devono integrare questi dati, ma per la maggior parte si tratta di rumore inutile che siamo costretti a vagliare, piuttosto che rappresentare qualsiasi cosa. rischio reale per la comunità degli utenti”, ha affermato Maunder.
Il CEO di Patchstack, Oliver Sild, ha risposto a queste affermazioni con dati che, a suo dire, dimostrano che Wordfence è anche responsabile della produzione di un volume elevato di CVE di vulnerabilità a basso rischio.
“WordFence come CNA produce in media CVE di vulnerabilità a rischio inferiore rispetto a tutte e 3 le CNA nello spazio WordPress”, ha affermato Sild.
CVE con CVSS uguale o superiore a 5 (2023)
- Patchstack: 91,39%
- Scansione WP: 77,89%
- WordFence: 72,52%
CVE con CVSS uguale o superiore a 7 (2023)
- Patchstack: 49,76%
- WordFence: 34,53%
- Scansione WP: 20,92%
CVE con CVSS uguale o superiore a 8 (2023)
- Patchstack: 30,02%
- WordFence: 24,90%
- Scansione WP: 12,05%
CVE con CVSS uguale o superiore a 9 (2023)
- WordFence: 9,37%
- Scansione WP: 4,60%
- Pacchetto di patch: 2,42%
“WordFence in effetti assegna in media la percentuale più alta di CVSS 9+ CVE (anche se sono anche i CNA più piccoli di tutti e tre), ma l’elevato CVSS da solo non determina se la vulnerabilità verrà sfruttata e la realtà è che le vulnerabilità che vengono sfruttati attivamente nell’ecosistema WordPress spesso hanno punteggi CVSS inferiori”, ha affermato Sild.
“Inoltre, tieni presente che noi di Patchstack riceviamo un volume quasi doppio di nuove segnalazioni di vulnerabilità (più di WPscan e WordFence messi insieme), quindi ovviamente questo abbassa anche la media per noi sui punteggi edge.”
Come nuova arrivata nel gruppo di aziende WordPress che offrono bug bounty, Wordfence sta entrando nel mercato con l’intenzione di attirare più segnalazioni attraverso bonus aggiuntivi (10% per i primi 6 mesi) e una struttura di bonus che premia il concatenamento di più vulnerabilità insieme, documentazione approfondita e altri sforzi aggiuntivi.
Non tutti gli autori di un plugin o di un tema popolare possono permettersi di offrire il proprio programma di bug bounty, ed è qui che le società di sicurezza stanno intervenendo per colmare le lacune. Una maggiore concorrenza tra le aziende per una ricerca di alta qualità non può che essere positiva per gli utenti di WordPress, poiché fornisce maggiori incentivi per proteggere l’ecosistema e attirerà potenzialmente ricercatori più qualificati. I programmi di bug bounty probabilmente si evolveranno nel tempo man mano che le aziende li perfezioneranno per fornire il miglior valore per la ricerca originale.