В крупнейшей в мире базе уязвимостей NVD, управляемой Национальным институтом стандартов и технологий США (NIST), недавно произошёл серьёзный сбой, который привёл к значительному увеличению числа неопубликованных уязвимостей.
С середины февраля 2024 года в работе базы начали возникать проблемы с обработкой новых данных, а начиная с 9 мая сервис и вовсе перестал показывать новые уязвимости, что вызвало обеспокоенность среди исследователей кибербезопасности.
Все причастные специалисты из государственного и частного секторов делают всё возможное, чтобы внести в базу обширный бэклог, скопившийся за три месяца, и заполнить пробелы там, где это возможно.
С 12 февраля этого года NIST смог проанализировать и добавить в свою базу лишь 4524 из 14 286 уязвимостей. Всё это негативно влияет на осведомлённость команд безопасности и создаёт новые возможности для злоумышленников.
На недавней конференции RSA Эммануэль Чавойя, генеральный директор RiskHorizon.ai, заявил, что уязвимости, не обработанные базой, уже активно эксплуатируются. Многие компании зависят от NVD для обновления и исправления программного обеспечения, поэтому остановка публикаций стала серьёзной проблемой.
Сотрудники из различных компаний и государственных учреждений подтвердили, что с 9 мая новые уязвимости не добавляются в базу через API. Последняя обработанная уязвимость была добавлена 9 мая.
Представитель NIST объяснил, что проблемы были вызваны переходом на новый формат данных CVE – JSON. Обработка уязвимостей не прекращалась, но публичные публикации были приостановлены для обновления системы, которое завершилось лишь 14 мая.
В марте Таня Брюэр, менеджер программы NVD, объявила о создании консорциума для решения возникших проблем, но конкретные детали пока остаются неизвестными. В это время частные компании, такие как RiskHorizon.ai, запустили собственную платформу под названием “NVD Backlog Tracker” для отслеживания необработанных уязвимостей.
Компания RiskHorizon.ai заявила, что покрывает 85% необработанных уязвимостей, предоставляя данные об их критичности и активности эксплуатации, однако доступ к платформе является платным.
Другие компании, такие как Trend Micro и VulnCheck, также активно публикуют новые уязвимости, предлагая альтернативу NVD.
8 мая Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) объявилоо запуске программы Vulnrichment для добавления метаданных к уязвимостям. MITRE, управляющая программой CVE, также утвердила новые правила для организаций, присваивающих CVE.
Хотя текущие меры помогают сократить отставание в анализе уязвимостей, генеральный директор RiskHorizon.ai считает, что необходимы долгосрочные решения. Он предлагает автоматизировать процесс раскрытия уязвимостей, что, по его мнению, позволит эффективнее справляться с проблемой.