|
Национальная база данных уязвимостей США прекратила сканирование на наличие уязвимостей в программном обеспечении и сервисах. Это не делалось уже больше месяца, что влияет на процесс устранения «дыр». То же самое происходит и с базой известных уязвимостей информационной безопасности — CVE. Это несет в себе риск дальнейших хакерских атак — одни эксперты называют происходящее «кризисом», другие опасаются больших проблем в сфере информационной безопасности.
Глобальная проблема информационной безопасности
Национальная база данных уязвимостей СОЕДИНЕННЫЕ ШТАТЫ (Национальная база данных уязвимостей – НВД) приостановила работу по сбору и анализу информации об уязвимостях программного обеспечения и сервисов. Первым на это заметил пользователь портала Морфизек под псевдонимом Брэд ЛаПорт – он назвал происходящее «кризисом».
Выяснилось, что НВД, являясь одним из важнейших ресурсов в сфере информационной безопасности, с 12 февраля 2024 года, то есть больше месяца, едва выполняет свою основную задачу. Проблема также затронула базу данных общеизвестных уязвимостей информационной безопасности, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В нем каждая уязвимость получает уникальный идентификационный номер в формате «CVE-год-номер», описание и количество публичных ссылок с описанием.
Из-за приостановки NVD в 42% заявок CVE за последние недели отсутствовали критически важные метаданные, включая показатель серьезности уязвимости (CVSS). Кроме того, несколько тысяч уязвимостей вообще не были проверены и ждут проверки. Всего, по оценкам Брэда ЛаПорте, по состоянию на 11 марта 2024 года список NVD содержал более 2400 записей об уязвимостях, не содержащих никакой дополнительной информации.
Аналитики опасаются безудержного роста хакеров, поскольку сканирование уязвимостей прекращается
CVE и NVFD — крупнейшие базы данных уязвимостей в мире.
Зачем что-то объяснять кому-то?
База НВД расположена на портале Национального института стандартов и технологий (Национальный институт стандартов и технологий, НИСТ). Представители института предпочли не комментировать происходящее на базе.
На самом деле, NIST не назвал конкретных причин прекращения анализа, намекая на улучшение процесса и ссылаясь на создание своего рода «консорциума».
На момент публикации документа на сайте ПНВ было опубликовано сообщение следующего содержания:
«NIST в настоящее время работает над созданием консорциума для решения проблем программы NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы столкнетесь с временными задержками в сканировании уязвимостей. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD. »
О каком консорциуме идет речь, чем именно он будет заниматься «решением проблем ПНВ», кто к нему присоединится и на каких условиях – все эти вопросы остаются без ответа.
Веб-сайт CVE также развивается. К концу второго квартала 2024 года старый дизайн будет полностью удален, а новая версия будет включать следующее уведомление: «Программа CVE сотрудничает с членами сообщества по всему миру для разработки контента CVE и расширения его использования. » На сайте нет подробностей о необходимости этих изменений.
Мнение российских экспертов
Как я писал в своем Telegram-канал Эксперт «Управление уязвимостями и не только» по корпоративному управлению уязвимостями Позитивные технологии Александр Леонов, прекращение ПНВ имело очень серьезные последствия. По его словам, обновление базы данных информацией об уязвимостях (CVE CVSS, CWE, CPE) полностью прекращено.
Леонов отдельно отметил, что внутри мирового сообщества экспертов по управлению уязвимостями (VM) «растёт паника». «Все привыкли использовать общедоступный контент NVD и воспринимали его обновление как нечто само собой разумеющееся. Оказалось, что все может остановиться и нам самим придется разбираться, где взять технические данные по каждой уязвимости», — отметил Александр Леонов.
Российская база данных уязвимостей содержит тысячи ссылок на CVE
Эксперт также выразил надежду, что проблема ПНВ носит временный характер и будет решена после реорганизации базы. «Но в остальном будет интересно посмотреть, куда это нас приведет», — заключил он.
Советовать пишет, что НВД является «важным источником информации об уязвимостях», информация которого проверена и засекречена специалистами НИСТ. Исчезновение такого инструмента «может привести к серьезным сбоям в функционировании глобальной системы сообщения об обнаруженных уязвимостях», отметил Tadviser, добавив, что даже российская «База данных угроз информационной безопасности«, курируемая Федеральной службой таможенного и экспортного контроля (г.ФСТЭК), регулярно ссылается на нумерацию CVE и документы NVD.
Геннадий Ефремов