Ο αντιπρόεδρος της Miter Yosry Barsoum προειδοποίησε ότι η αμερικανική κυβερνητική χρηματοδότηση για τις κοινές ευπάθειες και εκθέσεις (CVE) και κοινά προγράμματα απαρίθμησης αδυναμίας (CWE) λήγουν σήμερα, γεγονός που θα μπορούσε να οδηγήσει σε εκτεταμένη διαταραχή της παγκόσμιας βιομηχανίας στον κυβερνοχώρο.
Κάβεςτο πιο επικριτικό για τα δύο, διατηρείται από την MITER με χρηματοδότηση από το Εθνικό Τμήμα Ασφαλείας Κυβέρνησης των ΗΠΑ του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ (DHS). Η CVE είναι ζωτικής σημασίας για την παροχή ακρίβειας, σαφήνειας και κοινών προτύπων όταν συζητάμε για τα τρωτά σημεία της ασφάλειας.
Το πρόγραμμα υιοθετείται ευρέως σε διάφορα εργαλεία ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένων των συστημάτων διαχείρισης ευπάθειας, και επιτρέπει την παρακολούθηση όλων των πρόσφατα ανακαλυφθέντων τρωτών σημείων χρησιμοποιώντας αναγνωριστικά CVE (CVE ID) που εκχωρούνται από τις αρχές αρίθμησης CVE (CNAs) παγκοσμίως, με το MITER ως CVE Editor και Primary CNA.
Η CVE συμβάλλει επίσης στην αποφυγή της σύγχυσης που προκαλείται από τη χρήση πολλαπλών ονομάτων για ένα ελάττωμα ασφαλείας, επιτρέπει τη συντονισμένη καταλογογράφηση νέων τρωτών σημείων και επιτρέπει στις ομάδες ασφαλείας να μοιράζονται τις πληροφορίες πιο εύκολα μέσω συμβουλών, βάσεων δεδομένων ευπάθειας και άλλων πόρων χρησιμοποιώντας ένα πρότυπο σύστημα αναφοράς.
“Την Τετάρτη 16 Απριλίου 2025, η τρέχουσα συμβαλλόμενη πορεία για την ανάπτυξη, τη λειτουργία και τον εκσυγχρονισμό της CVE και πολλά άλλα συναφή προγράμματα, όπως η CWE, θα λήξει.
“Εάν επρόκειτο να συμβεί ένα διάλειμμα στην υπηρεσία, αναμένουμε πολλαπλές επιπτώσεις στην CVE, συμπεριλαμβανομένης της επιδείνωσης των εθνικών βάσεων δεδομένων και των συμβουλών, των προμηθευτών εργαλείων, των εργασιών αντιμετώπισης περιστατικών και όλων των κρίσιμων υποδομών”.
Δεδομένου ότι η επιστολή δημοσιεύθηκε στο διαδίκτυο, πολλοί εμπειρογνώμονες και ηγέτες ασφαλείας στην κοινότητα του κυβερνοχώρου εξέφρασαν την αγωνία τους. Φοβούνται ότι το πρόγραμμα θα τελειώσει απότομα και όλοι στον τομέα δεν θα έχουν τυποποιημένη μέθοδο για την παρακολούθηση νέων ζητημάτων ασφάλειας.
Σύμφωνα με τον πρώην επικεφαλής της CISA Jean Easterly, το άμεσο αποτέλεσμα θα ήταν πιθανώς η κατανομή των πιο αξιόπιστων εργαλείων και διαδικασιών ασφαλείας και η κατάρρευση όλων των παγκόσμιων προσπαθειών συντονισμού.
“Το σύστημα CVE μπορεί να μην κάνει πρωτοσέλιδα, αλλά είναι ένας από τους σημαντικότερους πυλώνες της σύγχρονης ασφάλειας στον κυβερνοχώρο. Η απώλεια θα ήταν σαν να σκίζει τον κατάλογο της κάρτας από κάθε βιβλιοθήκη ταυτόχρονα – οι υπερασπιστές για να ταξινομήσουν μέσω του χάους, ενώ οι επιτιθέμενοι επωφελούνται πλήρως”, ανατολικά προειδοποίησε το LinkedIn.
“Οι απειλές στον κυβερνοχώρο δεν σταματούν στα σύνορα – και ούτε η άμυνα, τα CVES είναι η κοινή γλώσσα που χρησιμοποιείται παγκοσμίως για να μοιραστεί τη νοημοσύνη και να συντονίσει τη δράση.
Η Casey Ellis, ιδρυτής της εταιρείας ασφαλείας Crowdsourced Bugcrowd, πρόσθεσε: “Η CVE υπογραμμίζει ένα τεράστιο κομμάτι διαχείρισης ευπάθειας, ανταπόκρισης περιστατικών και κρίσιμων προσπαθειών προστασίας των υποδομών.
Όταν ήρθε σε επαφή με τον BleepingComputer, οι εκπρόσωποι της DHS, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) και το Υπουργείο Άμυνας ήταν άμεσα διαθέσιμα για σχόλια.
Ωστόσο, ένας εκπρόσωπος της CISA δήλωσε στον BleepingComputer: “Αν και η σύμβαση της CISA με την Miter Corporation θα παραδοθεί μετά τις 16 Απριλίου, εργαζόμαστε επειγόντως για να μετριάσουμε τις επιπτώσεις και να διατηρήσουμε τις υπηρεσίες CVE στις οποίες βασίζονται οι παγκόσμιοι ενδιαφερόμενοι”.
Τα προβλήματα του Miter στη διατήρηση του χρηματοδοτούμενου προγράμματος CVE, το NIST είναι επίσης Ανακατεύοντας για να καθαρίσει μια μεγάλη καθυστέρηση των CVES που χρειάζονται εμπλουτισμό για την εθνική βάση δεδομένων ευπάθειας (NVD).
VIA: bleepingcomputer.com
