Най-големите в света бази данни за уязвимости в софтуера и услугите спряха да се актуализират. Хакерите ликуват, а светът е на ръба на катастрофа в информационната сигурност, опасяват се специалистите в сектора.
Повече от месец Националната база данни за уязвимости (NVD) на САЩ не извърша анализ, което се отразява на процеса на премахване на „дупки”. Същото се случва и с базата данни с добре познати уязвимости в информационната сигурност – CVE. Това носи риск от нови хакерски атаки – някои експерти наричат случващото се „криза”, други се опасяват от големи проблеми в сектора на информационната сигурност.
Глобален проблем със сигурността
NVD спря работата си по събиране и анализиране на информация за уязвимости в софтуера и услугите. Това беше забелязано за първи път от потребител на портала Morphisec под псевдонима Брад Лапорт – той нарече случващото се „криза”.
Оказва се, че NVD, като един от най-важните ресурси в областта на информационната сигурност, почти не изпълнява основната си задача от 12 февруари 2024 г., тоест повече от месец. Проблемът засегна и базата данни с общоизвестни уязвимости в информационната сигурност, популярна като Common Vulnerabilities and Exposures (CVE). В нея всяка уязвимост получава уникален идентификационен номер във формат „CVE-година-номер”, описание и редица публични връзки с описание.
В резултат на спирането на NVD, в 42% от подадените CVE през последните седмици липсваха критични метаданни, включително оценка за сериозност на уязвимостта (CVSS). Освен това няколко хиляди уязвимости все още чакат анализ. Брад ЛаПорт изчислява, че към 11 март 2024 г. списъкът на NVD включва повече от 2400 записа за уязвимости, които не съдържат допълнителна информация.
CVE и NVFD са най-големите бази данни за уязвимости в света. И основателно анализаторите се опасяват от необуздани хакерски атаки на фона на спиране на анализа на уязвимостите.
Въпроси без отговор
Базата на NVD се намира на портала на Националния институт за стандарти и технологии (NIST). Представители на института все още не са коментирали случващото се с базата. Всъщност NIST не посочи конкретни причини за спиране на анализа, намеквайки за подобрения на процеса и цитирайки създаването на някакъв вид „консорциум”.
На уебсайта на NVD беше публикувано следното съобщение: „NIST в момента работи за създаване на консорциум за справяне с проблемите в програмата NVD и разработване на подобрени инструменти и техники. По време на този преход ще видите временни забавяния в анализа на уязвимостта. Извиняваме се за неудобството и ви молим за търпение, докато работим за подобряване на програмата NVD”.
За какъв консорциум става въпрос, какво точно ще прави в хода на „решаването на проблемите на NVD”, кой ще се присъедини към него и при какви условия – всички тези въпроси остават без отговор.
Уебсайтът на CVE също се променя. Той ще премахне напълно стария дизайн до края на второто тримесечие на 2024 г., а новата версия ще включва следното известие: „Програмата CVE си партнира с членове на общността по целия свят, за да разработи CVE съдържание и да разшири използването му”. На уебсайта няма подробности за необходимостта от тези промени.
Паника в експертната общност
Спирането на работата на NVD има много сериозни последици. Нараства паниката в глобалната общност на експертите по управление на уязвимости. Всички са свикнали да използват публично достъпно NVD съдържание и приемат актуализирането му за даденост. Оказа се, че всичко може да спре и сега специалистите ще трябва сами да търсят техническите данни за всяка уязвимост.
NVD е важен източник, информацията в който е проверена и класифицирана от експерти на NIST. Изчезването на такъв инструмент може да доведе до сериозни смущения в работата на глобалната система за предупреждение за открити уязвимости.
В експертната общност остава надеждата, че проблемът с NVD е временен и ще бъде решен след реорганизацията на базата. Ако това не се случи, последствията ще са непредсказуеми.