MITER Başkan Yardımcısı Yosry Barsoum, ABD hükümetinin ortak güvenlik açıkları ve maruziyetleri (CVE) ve Ortak Zayıflık Numunation (CWE) programları için finansmanın sona erdiği ve bu da küresel siber güvenlik endüstrisinde yaygın olarak bozulmaya yol açabileceği konusunda uyardı.
İkisinin en kritik olan CVE, ABD İç Güvenlik Bakanlığı’nın (DHS) ABD Ulusal Siber Güvenlik Bölümü’nden finansmanla sağlanmıştır. CVE, güvenlik açıklarını tartışırken doğruluk, netlik ve paylaşılan standartlar sağlamak için çok önemlidir.
Program, güvenlik açığı yönetim sistemleri de dahil olmak üzere çeşitli siber güvenlik araçlarında yaygın olarak benimsenmiştir ve CVE numaralandırma yetkilileri (CNA’lar) tarafından atanan CVE editörleri (CNA’lar) kullanılarak yeni keşfedilen tüm güvenlik açıklarının izlenmesine izin verir, CVE düzenleyicisi ve birincil CNA olarak MITER.
CVE ayrıca, tek bir güvenlik kusuru için birden fazla ad kullanmanın neden olduğu karışıklığı önlemeye yardımcı olur, yeni güvenlik açıklarının koordineli kataloglanmasını sağlar ve güvenlik ekiplerinin standart bir referans sistemi kullanarak tavsiyeler, güvenlik açığı veritabanları ve diğer kaynaklar aracılığıyla bilgileri daha kolay paylaşmalarını sağlar.
Barsoum, CVE yönetim kurulu üyelerine gönderilen bir mektupta, “16 Nisan 2025 Çarşamba günü, MITER’in CVE ve CWE gibi diğer bazı ilgili programların süresi dolacak, CWE gibi diğer bazı ilgili programların süresi dolacak olan mevcut sözleşme yolu, Miter’in programı desteklemedeki rolüne devam etmek için önemli çaba sarf etmeye devam edecek.”
Diyerek şöyle devam etti: “Eğer bir hizmet arası gerçekleşecekse, ulusal güvenlik açığı veritabanlarının bozulması ve danışmanları, araç satıcıları, olay müdahale operasyonları ve her türlü kritik altyapı da dahil olmak üzere CVE için birden fazla etki bekliyoruz.”
Mektup çevrimiçi olarak yayınlandığından beri, siber güvenlik topluluğundaki birçok güvenlik uzmanı ve lideri öfkelerini dile getirdi. Programın aniden sona ereceğinden korkuyorlar ve alandaki herkesin yeni güvenlik sorunlarını izlemek için standartlaştırılmış bir yöntemi olmayacak.
Eski CISA başkanı Jean Easterly’ye göre, acil sonuç muhtemelen en güvenilir güvenlik araçlarının ve süreçlerinin dökümü ve tüm küresel koordinasyon çabalarının çöküşü olacaktır.
Linkedin’de, “CVE sistemi manşetler yapmayabilir, ancak modern siber güvenliğin en önemli sütunlarından biridir. Kaybetmek, her kütüphaneden bir kerede her kütüphaneden kart kataloğunu yırtmak gibi olurdu – savunucuları saldırganlar tam olarak yararlanırken kaos boyunca sıralamak için kurtarmak gibi.”
“Siber tehditler sınırlarda durmaz ve savunma da yoktur. CVES, istihbarat paylaşmak ve eylemi koordine etmek için dünya çapında kullanılan ortak dildir. Bunu kaybetmek ve herkesin uçuşu kör.”
Crowdsourced güvenlik şirketi Bugcrowd’un kurucusu Casey Ellis, “CVE, güvenlik açığı yönetimi, olay yanıtı ve kritik altyapı koruma çabalarının büyük bir kısmını destekliyor. Hizmetlerde ani bir kesinti, kısa bir süre içinde ulusal bir güvenlik sorununa girme potansiyeline sahip.
BleepingComputer tarafından temasa geçildiğinde, DHS’deki sözcüler, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Savunma Bakanlığı hemen yorum yapmak için hazır bulundu.
Bununla birlikte, bir CISA sözcüsü BleepingComputer’a şunları söyledi: “CISA’nın Miter Corporation ile olan sözleşmesi 16 Nisan’dan sonra geçecek olsa da, acilen etkiyi azaltmak ve küresel paydaşların güvendiği CVE hizmetlerini korumak için çalışıyoruz.”
MIERS’in CVE programını finanse ettiği sorunları, NIST olarak ortaya çıkıyor, aynı zamanda Ulusal Güvenlik Açığı Veritabanı (NVD) için zenginleştirilmesi gereken büyük bir CVE’lerin birikimini temizlemek için uğraşıyor.