De Amerikaanse overheidsfinanciering voor non-profit onderzoeks gigantische MITER om haar gemeenschappelijke kwetsbaarheden en exposities (CVE) -programma te exploiteren en te behouden, zal woensdag vervallen, een ongekende ontwikkeling die een van de fundamentele pijlers van het wereldwijde cybersecurity-ecosysteem zou kunnen opschudden.
Het 25-jarige CVE-programma is een waardevol hulpmiddel voor kwetsbaarheidsbeheer en biedt een de facto standaard om beveiligingsfouten publiekelijk bekend te maken, te definiëren en te catalogus met behulp van CVE-ID’s. Het programma heeft tot nu toe meer dan 274.000 CVE -records vermeld.
YOSRY BARSOUM, vice -president van MITER en directeur van het Center for Curping the Homeland (CSH), zei dat zijn financiering om CVE “te ontwikkelen, te ontwikkelen en te moderniseren en gerelateerde programma’s, zoals de gemeenschappelijke zwakte -opsomming (CWE), zal aflopen.”
“Als er een break in service zou plaatsvinden, verwachten we meerdere effecten op CVE, waaronder verslechtering van nationale kwetsbaarheidsdatabases en adviezen, gereedschapsverkopers, incidentresponsoperaties en allerlei kritieke infrastructuur,” merkte Barsoum op in een brief die werd verzonden aan CVE Board -leden.
Barsoum wees er echter op dat de overheid “aanzienlijke inspanningen blijft doen” om de rol van mijter in het programma te ondersteunen en dat Miter zich inzet voor CVE als een wereldwijde bron.
Het CVE -programma werd gelanceerd in september 1999 en is gerund door MITER met sponsoring van het US Department of Homeland Security (DHS) en de Cybersecurity and Infrastructure Security Agency (CISA).
Als reactie op de verhuizing heeft Cybersecurity Firm Vulncheck, een CVE -nummeringsautoriteit (CNA), aangekondigd dat het proactief 1.000 CVE’s voor 2025 reserveert om de leegte te helpen vullen.
“Een servicepauze zou waarschijnlijk nationale kwetsbaarheidsdatabases en adviezen verslechteren,” zei Jason Soroko, senior fellow bij Sectigo, in een verklaring gedeeld met The Hacker News.
“Deze lapse kan een negatieve invloed hebben op de leveranciers van gereedschappen, incidentresponsoperaties en kritieke infrastructuur in grote lijnen. MITER benadrukt zijn voortdurende betrokkenheid maar waarschuwt voor deze potentiële effecten als de contractroute niet wordt gehandhaafd.”
Tim Peck, senior bedreigingsonderzoeker bij Securonix, vertelde The Hacker News dat een verslag van een enorme gevolgen zou kunnen hebben voor het cybersecurity -ecosysteem waar CNA’s en verdedigers mogelijk niet in staat zijn om CV’s te verkrijgen of te publiceren, wat vertragingen veroorzaakt in de toelichtingen van kwetsbaarheid.
“Bovendien is het Project voor gemeenschappelijke zwakke opsomming (CWE) van vitaal belang voor software zwakteclassificatie en prioritering,” zei Peck. “Het stopcontact zou van invloed zijn op beveiligde coderingspraktijken en risicobeoordelingen. Het CVE -programma is een fundamentele infrastructuur. Het is niet alleen een leuk om ‘verwijzende lijst’ te hebben, het is een primaire bron voor kwetsbaarheidscoördinatie, prioritering en responsinspanningen in de particuliere sector, overheid en open source.”
UPDATE – CISA breidt het CVE -programma -contract uit te midden van de financieringscrisis
CISA is ingegaan om de financiering uit te breiden om de continuïteit van het CVE -programma te waarborgen, zei het bureau.
“Het CVE -programma is van onschatbare waarde voor de cybergemeenschap en een prioriteit van CISA,” zei het in een verklaring. “Gisteravond heeft CISA de optieperiode van het contract uitgevoerd om ervoor te zorgen dat er geen verkrijgbare criticale CVE -diensten zullen zijn. We waarderen het geduld van onze partners en belanghebbenden.”
De ontwikkeling komt als een groep CVE-bestuursleden de lancering van de CVE Foundation heeft aangekondigd, een non-profit organisatie die is opgezet om de onafhankelijkheid van het CVE-programma te beveiligen.
“De vorming van de CVE Foundation markeert een belangrijke stap in de richting van het elimineren van een enkel punt van falen in het ecosysteem van het kwetsbaarheidsbeheer en ervoor zorgen dat het CVE-programma een wereldwijd vertrouwd, gemeenschapsgestuurd initiatief blijft,” zei de CVE Foundation.
“Voor de internationale cybersecurity -gemeenschap is deze stap een kans om bestuur te vestigen dat het wereldwijde karakter van het hedendaagse dreigingslandschap weerspiegelt.”
Samenvallend met het nieuws van de potentiële CVE-afsluiting, heeft de Europese Unie Agency for Cybersecurity (ENISA) ook een Europese kwetsbaarheidsdatabase (EUVD) gelanceerd, die “een multi-stakeholderbenadering omarmt door openbaar beschikbare kwetsbaarheidsinformatie uit meerdere bronnen te verzamelen.”
Het Computer Incident Response Center van Luxemburg ontwikkelt ook een “gedecentraliseerd” systeem voor het identificeren en nummeren van kwetsbaarheden genaamd het Global CVE (GCVE) toewijzingssysteem.
