Uyarı! Eksik NVD Verileri İşletmeleri Savunmasız Bırakıyor. Kesintiden Kaynaklanan Yama Gecikmeleri. Güvenlik Uzmanları Eylem Çağrısında Bulunuyor.
Ulusal Standartlar ve Teknoloji Enstitüsü'ndeki (NIST) bir aksaklık, Ulusal Güvenlik Açığı Veri Tabanına (NVD) güvenen kuruluşlar için sorunlara neden oluyor. NVD, yazılımdaki güvenlik açıkları hakkındaki bilgilerin merkezi bir deposudur ve kuruluşların sistemlerindeki güvenlik zayıflıklarını belirlemeleri ve gidermeleri için kritik bir kaynak görevi görür.
Güvenlik politikaları, hükümetlere ve ticari kuruluşlara, NVD'nin sağladığı önem düzeylerine göre belirli günler içinde güvenlik açıklarını giderme yetkisi verir ve bu da onu dünyanın en önemli güvenlik açığı veritabanı haline getirir.
Bu nedenle, NIST'in 12 Şubat 2024'ten bu yana NVD'deki yazılım güvenlik açıklarını zenginleştirmeyi durdurması endişe verici. Zenginleştirmedeki bu önemli düşüş, ilk olarak yazılım güvenliği sağlayıcısı Anchore'un Güvenlikten Sorumlu Başkan Yardımcısı Josh Bressers tarafından keşfedildi ve daha sonra Cisco Tehdit Algılama ve Yanıt'ın müdürü tarafından fark edildi. mühendis, Jerry Gamblin, Gamblin ve NetRise.
NVD, 15 Şubat'ta NVD programındaki zorlukları ele almak ve “iyileştirilmiş araçlar ve yöntemler” geliştirmek için bir konsorsiyum kurmaya çalıştığını duyurdu. NVD, bunun analiz çabalarında geçici gecikmelere neden olabileceğini açıkladı. Ancak güvenlik analistleri NVD'nin CVE'leri tam olarak raporlamada geciktiğini düşünüyor.
“NIST şu anda NVD programındaki zorlukları ele almak ve iyileştirilmiş araçlar ve yöntemler geliştirmek için bir konsorsiyum kurmaya çalışıyor. Bu geçiş sırasında analiz çalışmalarınızda geçici olarak gecikmeler göreceksiniz. Bu rahatsızlıktan dolayı özür dileriz ve NVD programını geliştirmeye çalışırken sabrınızı rica ediyoruz.”
Hackread.com, 14 Şubat 2024'ten bu yana görüntülenen web sitesinden bir ekran görüntüsü aldı.
NetRise CEO'su Tom Pace'e atıfta bulunan bir raporda da belirtildiği gibi, 2700 Ortak Güvenlik Açıklarından ve Risklerden (CVE) yalnızca 200'ünün zenginleştirildiği bildirildi. Bu, veritabanına eklenen 2500'den fazla güvenlik açığının, önemli meta veri bilgileri olmadan yüklendiği anlamına gelir.
Bunlar, güvenlik açığının ve potansiyel olarak bir istismara yol açan yazılım 'zayıflığının' tanımını (Ortak Zayıflık ve Etkilenme/CWE olarak adlandırılır), etkilenen yazılım ürünlerinin adlarını, güvenlik açığının kritiklik/CVSS puanını ve yama durumunu içerir. Bressers, son 30 gün içinde çok az sayıda CVE'nin zenginleştirildiğini gösteren güncellenmiş bir grafik paylaştı.
Sorun, Ortak Ürün Numaralandırıcıları (CPE'ler) ve kritiklik puanları (CVSS) gibi önemli meta verilerle zenginleştirilmiş CVE'lerdeki azalmaya bağlanıyor. NVD, Şubat ortasından bu yana binlerce CVE'yi etiketsiz bıraktı ve bu yılın CVE'lerinin yaklaşık %40'ını hayati bilgilerden yoksun bıraktı. CPE'nin bir CVE'yi bir bileşenle eşleştirmenin ana yolu olması ve evde geliştirilen birçok güvenlik açığı çözümüne dayanması nedeniyle bu durum endişe vericidir.
Bilginize, MITRE bilinen güvenlik açıklarını tespit etmek için CVE çerçevesini geliştirdi. CVE Kimlikleri, 350 teknoloji şirketini, güvenlik tedarikçisini ve araştırmacıyı içeren CVE Numaralandırma Yetkilileri tarafından rapor edilmektedir.
CVE'ler, Ortak Zayıflık Sayıcıları (CWE'ler), Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) ve Ortak Platform Numaralandırıcısı (CPE) gibi diğer siber güvenlik kısaltmalarıyla etiketlenir. CWE'ler kodlama kusurlarını tanımlar, CVSS puanları CVE etkisinin ciddiyetini tanımlar ve CPE'ler tehlike altındaki sistemleri tanımlar.
Bu kesinti, güvenlik açığı yönetimi için NVD'ye bağımlı olan kuruluşlar için önemli bir zorluk teşkil ediyor. Bu kapsamlı verilere erişim olmadan kuruluşlar, ağlarındaki savunmasız sistemleri etkili bir şekilde belirleyemez. Bu, yama veya düzeltme çabalarının gecikmesine neden olabilir ve potansiyel olarak bu sistemlerin kötü niyetli aktörlerin kullanımına açık hale gelmesine neden olabilir.
Siber güvenlik araştırmacıları, NIST'i bu kesintiyi çözmeye öncelik vermeye ve NVD içinde güvenlik açığı verilerinin tamamını sağlamaya devam etmeye çağırıyor. Bu sorunun nedenine ilişkin şeffaflık, siber güvenlik topluluğu içinde sürekli güven ve işbirliğinin sağlanması açısından da önemlidir.
İLGİLİ KONULAR
- Dış Varlıklar için Zafiyet Risk Yönetimi
- ZombieBoy kripto kötü amaçlı yazılımı, tespit edilmekten kaçmak için CVE'lerden yararlanıyor
- NIST'in Siber Güvenlik Çerçevesi 2.0: Tüm Kuruluşlar İçin Kılavuz
- Flashpoint, 0 Gün Dahil 100.000'den Fazla Gizli Güvenlik Açığı Ortaya Çıkardı
- Etik Hackerlar 835 Güvenlik Açığı Bildirerek 2023'te 450 Bin Dolar Kazandı