Прекратили обновляться крупнейшие мировые базы уязвимостей. Хакеры ликуют, мир на грани ИБ-катастрофы
Национальная база уязвимостей США остановила анализ уязвимостей в ПО и сервисах. Он не ведется более месяца, что влияет на процесс устранения «дыр». То же происходит и с базой данных общеизвестных уязвимостей информационной безопасности – CVE. Это несет риск новых хакерских атак – одни эксперты называют происходящее «кризисом», другие опасаются больших проблем в ИБ-сфере.
Мировая ИБ проблема
Национальная база уязвимостей США (National Vulnerability Database – NVD) приостановила работу по сбору и анализу информации об уязвимостях в программном обеспечении и сервисах. На это первым обратил внимание пользователь портала Morphisec под псевдонимом Brad LaPorte – он назвал происходящее «кризисом».
Как оказалось, свою первоочередную задачу NVD, являясь одним из важнейших ресурсов в сфере информационной безопасности, почти не выполняет с 12 февраля 2024 г., то есть больше месяца. Проблема затронула и базу данных общеизвестных уязвимостей информационной безопасности, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В ней каждая уязвимость получает уникальный идентификационный номер формата «CVE-год-номер», описание и ряд общедоступных ссылок с описанием.
В результате приостановки деятельности NVD в 42% внесенных за последние недели данных в базу CVE отсутствуют критические метаданные, включая оценку степени опасности уязвимости (CVSS). Помимо этого, несколько тысяч уязвимостей вообще не были проанализированы и ожидают разбора. В общей сложности, по подсчетам Brad LaPorte, на 11 марта 2024 г. список NVD содержал более 2400 записей об уязвимостях, в которых не было никакой дополнительной информации.
CVE и NVFD – это крупнейшие базы уязвимостей в мире.
Зачем кому-то что-то объяснять
База NVD дислоцируется на портале Национального института стандартов и технологий (National Institute of Standards and Technology, NIST). Представители института предпочли не комментировать происходящее с базой.
Фактически, NIST не предоставил конкретных причин остановки анализа, намекая на усовершенствование процессов и ссылаясь на создание некоего «консорциума».
На момент выхода материала на сайте NVD размещалась плашка с уведомлением следующего содержания:
«NIST в настоящее время работает над созданием консорциума для решения проблем в программе NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы увидите временные задержки в проведении анализа уязвимостей. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD».
О каком консорциуме идет речь, чем именно он будет заниматься в ходе «решения проблем NVD», кто и на каких условиях войдет в его состав – все эти вопросы пока остаются без ответа.
Сайт CVE тоже меняется. До конца II квартала 2024 г. он полностью избавится от старого дизайна, а на новой версии размещено уведомление: «Программа CVE сотрудничает с членами сообщества по всему миру, чтобы развивать контент CVE и расширять его использование». Никаких подробностей о необходимости этих изменений на сайте нет.
Мнение российских экспертов
Как написал в своем Telegram-канале «Управление Уязвимостями и прочее» эксперт по управлению уязвимостями в компании Positive Technologies Александр Леонов, остановка работы NVD имела весьма серьезные последствия. По его словам, полностью прекращено пополнение базы информацией по уязвимостям (CVE CVSS, CWE, CPE).
Леонов отдельно подчеркнул, что в мировом сообществе экспертов по управлению уязвимостями (vulnerability management, VM) «нарастают панические настроения». «Все привыкли использовать общедоступный контент NVD и относились к его обновлению как к чему-то разумеющемуся. Оказалось, что все может прекратиться, и разбираться откуда брать технические данные для каждой уязвимости придется самим», – отметил Александр Леонов.
Эксперт также выразил надежду, что проблема с NVD носит временный характер, которая решится после реорганизации базы. «Но если нет, то занятно будет посмотреть к чему это приведет», – резюмировал он.
Tadviser пишет, что NVD является «важным источником информации по уязвимостям», информация в котором проходила проверку и классифицировалась специалистами NIST. Исчезновение такого инструмента «может привести к серьезным нарушениям в работе глобальной системы оповещения об обнаруженных уязвимостях», – отметили в Tadviser, добавив, что даже российский «Банк данных угроз безопасности информации», курируемая Федеральной службой по таможенному и экспортному контролю (ФСТЭК) , регулярно ссылается на на нумерацию CVE и материалы NVD.