Dalış Özeti:
- Ulusal Standartlar ve Teknoloji Enstitüsü, Şubat ortasından bu yana Ulusal Güvenlik Açığı Veritabanında yayınlanan 10 güvenlik açığından 1’inden azını analiz etti. VulnCheck’i araştırın perşembe günü yayınlandı.
- Raporda, 19 Mayıs itibarıyla NVD’ye eklenen 12.720 güvenlik açığından 11.885’inin analiz edilmediği veya kritik verilerle zenginleştirilmediği ortaya çıktı.
- Güvenlik açığı araştırma firması, VulnCheck kataloğundaki bilinen istismar edilen güvenlik açıklarının yarısından fazlasında NIST analizinin eksik olduğunu buldu. VulnCheck şu anda Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın iki katı kadar aktif olarak istismar edilen güvenlik açıklarını izliyor.
Dalış Bilgisi:
NIST NVD programını küçülttük Şubat ayının ortasında, artan bir birikmiş iş yığınının ortasında, en önemli veya aktif olarak yararlanılan güvenlik açıklarının analizine öncelik verildiğini söyledi. NIST, VulnCheck’in araştırmasıyla ilgili soruları yayınlanma zamanına göre yanıtlamadı.
VulnCheck’in araştırması, siber güvenlik uzmanlarının NIST duraklatıldığında analiz boşluğu hakkında paylaştığı endişeleri vurguluyor. Kaynakları kısıtlı olan kurum, geçen yıl 33.137 güvenlik açığı açıklamasıyla tüm zamanların en yüksek rakamını bildirdi ve geride kalıyordu.
VulnCheck’in kıdemli araştırmacısı Patrick Garrity, e-posta yoluyla şunları söyledi: “NVD, güvenlik açıklarının çoğunu bu yavaşlamadan önce zamanında işledi.” “Ancak CVE numaralandırma otoritesinin istismar kanıtı bulunan bir güvenlik açığını yayınlamadığı durumlar da var.”
VulnCheck’e göre NIST, Microsoft Windows, Adobe ColdFusion, Progress Flowmon, ChatGPT ve diğer teknoloji satıcılarıyla bağlantılı bilinen istismar edilen güvenlik açıklarını henüz analiz etmedi.
NIST’in bazı NVD faaliyetlerine ara vermesi, birçok CVE’yi incelenmemiş kavram kanıtı istismarlarıyla karşı karşıya bırakıyor. VulnCheck’e göre, kavram kanıtı istismarına sahip 5 CVE’den 4’ünden fazlası, yavaşlamadan bu yana NVD tarafından analiz edilmedi.
Garrity, “CVE tarafından analiz edilmeyen ve işlenmeyen güvenlik açıklarının görünürlüğü söz konusu olduğunda geniş kapsamlı çıkarımlar var” dedi.
Birçok güvenlik aracı, tehdit ve risk puanlama sistemi, ortak platform numaralandırmaları ve CVSS gibi NVD zenginleştirme verilerine dayanır. Garrity, “Bu, daha geniş güvenlik topluluğu genelinde kademeli bir etki yaratıyor” dedi.