Разделы

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Техника

Прекратили обновляться крупнейшие мировые базы уязвимостей. Хакеры ликуют, мир на грани ИБ-катастрофы

Национальная база уязвимостей США остановила анализ уязвимостей в ПО и сервисах. Он не ведется более месяца, что влияет на процесс устранения «дыр». То же происходит и с базой данных общеизвестных уязвимостей информационной безопасности – CVE. Это несет риск новых хакерских атак – одни эксперты называют происходящее «кризисом», другие опасаются больших проблем в ИБ-сфере.

Мировая ИБ проблема

Национальная база уязвимостей США (National Vulnerability Database – NVD) приостановила работу по сбору и анализу информации об уязвимостях в программном обеспечении и сервисах. На это первым обратил внимание пользователь портала Morphisec под псевдонимом Brad LaPorte – он назвал происходящее «кризисом».

Как оказалось, свою первоочередную задачу NVD, являясь одним из важнейших ресурсов в сфере информационной безопасности, почти не выполняет с 12 февраля 2024 г., то есть больше месяца. Проблема затронула и базу данных общеизвестных уязвимостей информационной безопасности, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В ней каждая уязвимость получает уникальный идентификационный номер формата «CVE-год-номер», описание и ряд общедоступных ссылок с описанием.

В результате приостановки деятельности NVD в 42% внесенных за последние недели данных в базу CVE отсутствуют критические метаданные, включая оценку степени опасности уязвимости (CVSS). Помимо этого, несколько тысяч уязвимостей вообще не были проанализированы и ожидают разбора. В общей сложности, по подсчетам Brad LaPorte, на 11 марта 2024 г. список NVD содержал более 2400 записей об уязвимостях, в которых не было никакой дополнительной информации.

Аналитики опасаются разгула хакеров на фоне остановки анализа уязвимостей

CVE и NVFD – это крупнейшие базы уязвимостей в мире.

Зачем кому-то что-то объяснять

База NVD дислоцируется на портале Национального института стандартов и технологий (National Institute of Standards and Technology, NIST). Представители института предпочли не комментировать происходящее с базой.

Фактически, NIST не предоставил конкретных причин остановки анализа, намекая на усовершенствование процессов и ссылаясь на создание некоего «консорциума».

Сайт NVD

На момент выхода материала на сайте NVD размещалась плашка с уведомлением следующего содержания:

«NIST в настоящее время работает над созданием консорциума для решения проблем в программе NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы увидите временные задержки в проведении анализа уязвимостей. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD».

О каком консорциуме идет речь, чем именно он будет заниматься в ходе «решения проблем NVD», кто и на каких условиях войдет в его состав – все эти вопросы пока остаются без ответа.

Обновленный сайт CVE

Сайт CVE тоже меняется. До конца II квартала 2024 г. он полностью избавится от старого дизайна, а на новой версии размещено уведомление: «Программа CVE сотрудничает с членами сообщества по всему миру, чтобы развивать контент CVE и расширять его использование». Никаких подробностей о необходимости этих изменений на сайте нет.

Мнение российских экспертов

Как написал в своем Telegram-канале «Управление Уязвимостями и прочее» эксперт по управлению уязвимостями в компании Positive Technologies Александр Леонов, остановка работы NVD имела весьма серьезные последствия. По его словам, полностью прекращено пополнение базы информацией по уязвимостям (CVE CVSS, CWE, CPE).

Леонов отдельно подчеркнул, что в мировом сообществе экспертов по управлению уязвимостями (vulnerability management, VM) «нарастают панические настроения». «Все привыкли использовать общедоступный контент NVD и относились к его обновлению как к чему-то разумеющемуся. Оказалось, что все может прекратиться, и разбираться откуда брать технические данные для каждой уязвимости придется самим», – отметил Александр Леонов.

В российской базе уязвимостей тысячи отсылок к CVE

Эксперт также выразил надежду, что проблема с NVD носит временный характер, которая решится после реорганизации базы. «Но если нет, то занятно будет посмотреть к чему это приведет», – резюмировал он.

Tadviser пишет, что NVD является «важным источником информации по уязвимостям», информация в котором проходила проверку и классифицировалась специалистами NIST. Исчезновение такого инструмента «может привести к серьезным нарушениям в работе глобальной системы оповещения об обнаруженных уязвимостях», – отметили в Tadviser, добавив, что даже российский «Банк данных угроз безопасности информации», курируемая Федеральной службой по таможенному и экспортному контролю (ФСТЭК) , регулярно ссылается на на нумерацию CVE и материалы NVD.

Геннадий Ефремов



CNews Forum 2024 CNews Forum 2024

erid:

Рекламодатель:

ИНН/ОГРН:

byteoilgas_conf 2024 byteoilgas_conf 2024

erid:

Рекламодатель:

ИНН/ОГРН:

LANSOFT: время комплексных бизнес-решений LANSOFT: время комплексных бизнес-решений

erid:

Рекламодатель:

ИНН/ОГРН:

Orion Digital Day Orion Digital Day

erid:

Рекламодатель:

ИНН/ОГРН:

ELMA DAY ELMA DAY

erid:

Рекламодатель:

ИНН/ОГРН: