▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Tagli di Washington: affossato il programma CVE.

Basta fondi a MITRE per il programma Common Vulnerabilities and Exposures (CVE): le informazioni strutturate sulle vulnerabilità non saranno più gestite allo stesso modo. Con danni per tutti.

Vulnerabilità

Una delle basi di conoscenza fondamentali per la cybersecurity viene improvvisamente cancellata: il Governo USA ha tagliato i fondi assegnati a MITRE per supportare il programma Common Vulnerabilities and Exposures (CVE) e quelli collegati, come il Common Weakness Enumeration Program (CWE). Il database-catalogo delle vulnerabilità rilevate nei prodotti software ed hardware non verrà quindi più aggiornato come è ora, probabilmente già a partire da domani 16 aprile.

La notizia è cominciata a circolare nella serata (per noi) del 15 aprile, quando è stata resa pubblica da alcuni destinatari la lettera ricevuta direttamente da MITRE. Secondo il testo, il 16 aprile terminano - perché non saranno rinnovati come di consueto - i fondi per il programma CVE. “Il Governo continua a fare sforzi considerevoli per supportare il ruolo di MITRE nel programma", indica poi la lettera, come anche che "MITRE continua a essere impegnata su CVE in quanto risorsa globale”. Ma sono affermazioni che non chiariscono del tutto la vicenda.

Se è vero che MITRE non è formalmente l’unico organismo che può portare avanti in toto il programma CVE, infatti, è altrettanto vero che lo è all’atto pratico. Le affermazioni diplomatiche del suo Direttore, Yosry Barsoum, sono quindi tecnicamente vere ma vaghe: se MITRE non ha i fondi per mantenere adeguatamente aggiornato il database delle vulnerabilità, che è uno strumento cruciale per chiunque faccia vulnerability management, questo semplicemente non sarà più gestito con la stessa accuratezza di prima.

Alcuni hanno ipotizzato che il database stesso non sia più consultabile sul sito MITRE già dal 16 aprile, al termine del contratto di finanziamento. Un suo archivio storico dovrebbe restare disponibile su GitHub, aggiornato all’ultima versione del 15 aprile, almeno per quanto si osserva al momento in cui scriviamo. Non è però certo che questo archivio venga mantenuto, e comunque aggiornato.

Un problema per tutti

Non potersi affidare a una singola fonte ufficiale e sempre aggiornata delle vulnerabilità che sono presenti in rete e della loro gravità, insieme ovviamente alle procedure di remediation, è un problema da non sottovalutare nelle organizzazioni di qualsiasi tipo.

È vero che l’utilità e la validità delle indicazioni e delle valutazioni del programma CVE è stata spesso messa in discussione, ma è anche vero che l’alternativa “manuale” al database CVE è tenere traccia direttamente delle vulnerabilità (e delle informazioni associate) segnalate formalmente dai singoli produttori e dalle aziende di cybersecurity. Come anche tenere traccia delle segnalazioni di vulnerabilità che vengono dalla community degli esperti indipendenti. Tutto questo comporterebbe un carico di lavoro elevato e insostenibile per le aziende meno strutturate lato cybersecurity, e anche per alcuni loro partner tecnologici.

Va inoltre considerato che il vulnerability assessment basato sulle CVE - la cui efficacia, va ricordato, è stata anch’essa spesso messa in dubbio - è una forma di compliance per la cybersecurity oggi abbastanza diffusa e comunque riconosciuta. Ma se il database CVE non è più aggiornato quanto dovrebbe, questa forma di compliance - già un po’ troppo “spunta-caselle”, a dire il vero - diventa ancora meno convincente.

Ci sono invece poche discussioni sul fatto che le informazioni, e soprattutto le classificazioni, fornite dal programma CVE rappresentino una sorta di “lingua comune” per chiunque faccia cybersecurity. Una “lingua” che garantisce che tutti, parlando di una vulnerabilità, abbiano ben chiaro di cosa si sta trattando e di quali siano i sistemi e le piattaforme coinvolte, e in che modo. Senza questa conoscenza formalizzata comune, la reazione agli attacchi che sfruttano nuove vulnerabilità rischia di essere meno coordinata e dunque più lenta. Dando più forza ed efficacia agli attacchi stessi.

Cosa può succedere ora? Non è del tutto chiaro, in effetti. Il programma CVE è organizzato in modo gerarchico e in parte opera anche senza MITRE. Le cosiddette CVE Numbering Authority (CNA) in teoria potranno continuare a condividere automaticamente informazioni sulle CVE, perché esiste "dietro le quinte" una API che permette di distribuire e consultare appunto queste informazioni.

Le CNA sono le organizzazioni (vendor, ricercatori, CERT, realtà open source, consorzi...) autorizzate a "numerare" le nuove vulnerabilità e a schedarle con le loro informazioni. Finché la loro API resta operativa, tutto bene. E alcune CNA hanno già "prenotato" blocchi di numerazione CVE per aggiornare loro il database. Ma attenzione, ci sono alcuni elementi importanti da considerare: gli identificativi CVE prenotati basteranno solo per qualche mese al massimo, un aggiornamento del database in ordine sparso non è l'ideale, l'API non serve le organizzazioni che non sono CNA (proprio questa disseminazione ulteriore di informazioni è uno dei compiti di MITRE).

Più a lungo termine, c'è da capire se e come una singola organizzazione possa prendere in mano il programma CVE e portarlo avanti come stava facendo MITRE. E se la ri-centralizzazione delle CVE sia, a questo punto, davvero opportuna o non sia un elemento di debolezza del sistema. C'è chi nelle prime ore della vicenda ha fatto il nome di Red Hat come nuovo "gestore", ma solo perché questa è l'unica - per usare il termine tecnico - CVE Numbering Authority of Last Resort (CNA-LR) oltre a MITRE e CISA. Affidarle tutto il progrmma CVE è una ipotesi estrema, essendo Red Hat una azienda e non una organizzazione indipendente.

Da parte sua, la community globale della cybersecurity - già colpita da altri eventi - è stata spiazzata dalla notizia. Diversi suoi esponenti si stanno confrontando sul possibile da farsi, ma muoversi è difficile. Non da ultimo perché è evidente che per l’Amministrazione Trump la cybersecurity nazionale non è una priorità - sembra semmai il contrario - e non è prudente per nessuno andare contro le sue apparenti politiche. Questo non aiuta certamente a gestire la situazione, che ovviamente ha impatti importanti anche sulla cybersecurity globale ed è quindi un problema per tutti.

Gli aggiornamenti

[ Aggiornamento del 16 Aprile ] Il frutto del lavoro, anche preventivo, della community potrebbe essere la neonata CVE Foundation, che è stata ufficializzata oggi e creata proprio per "garantire a lungo termine la presenza, la stabilità e l'indipendenza del programma CVE". Della CVE Foundation non si sa quasi nulla a parte quello che essa stessa racconta. Cioè che è una "coalizione di membri attivi di lunga data del CVE Board" che nell'ultimo anno si sono organizzati per "sviluppare una strategia per trasferire [il programma] CVE a una fondazione dedicata non-profit". Nel primo comunicato ufficiale, il portavoce è Kent Landfield, Chief Standards e Technology Policy Strategist di Trellix.

[ Aggiornamento del 16 Aprile ] La CISA ha comunicato che sono stati erogati nuovi fondi governativi per il mantenimento del programma CVE, anche se da quanto l'Agenzia governativa ha comunicato non si capisce quanto l'intervento di supporto sia esteso. La CISA infatti è intervenuta - spiega - "per garantire che non ci sarà alcuna interruzione nei servizi CVE critici". A quanto pare si tratterebbe di un finanziamento-ponte che manterrà il programma attivo 11 mesi. Nelle prossime ore la situazione si farà probabilmente più chiara.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1