El vicepresidente de MITRE, Yosry Barsoum, advirtió que la financiación del
gobierno estadounidense para los programas de Vulnerabilidades y Exposiciones
Comunes (CVE) y Enumeración de Debilidades Comunes (CWE) vence hoy, lo
que podría provocar una disrupción generalizada en la industria global de la
ciberseguridad.
MITRE mantiene (¿mantenía?) CVE, el programa más crítico de los dos, con
financiación de la División Nacional de Ciberseguridad del Departamento de
Seguridad Nacional (DHS) de EE.UU. CVE es crucial para proporcionar precisión,
claridad y estándares compartidos al analizar vulnerabilidades de seguridad.
El programa se ha adoptado ampliamente en diversas herramientas de
ciberseguridad, incluyendo sistemas de gestión de vulnerabilidades, y permite
rastrear todas las vulnerabilidades recién descubiertas mediante
identificadores CVE (ID CVE) asignados por las Autoridades de Numeración CVE
(CNA) de todo el mundo, siendo MITRE el editor de CVE y la CNA principal.
CVE también ayuda a evitar la confusión causada por el uso de múltiples
nombres para una sola falla de seguridad, facilita la catalogación coordinada
de nuevas vulnerabilidades y facilita que los equipos de seguridad compartan
información con mayor facilidad a través de avisos, bases de datos de
vulnerabilidades y otros recursos mediante un sistema de referencia estándar.
«El miércoles 16 de abril de 2025, expirará el proceso de contratación
actual de MITRE para desarrollar, operar y modernizar CVE y otros programas
relacionados, como CWE. El gobierno continúa realizando esfuerzos
considerables para que MITRE continúe apoyando el programa», advirtió Barsoum en una carta enviada a los miembros de la Junta de CVE.
«Si se produjera una interrupción del servicio, prevemos múltiples impactos
en CVE, incluyendo el deterioro de las bases de datos y avisos nacionales de
vulnerabilidades, los proveedores de herramientas, las operaciones de
respuesta a incidentes y todo tipo de infraestructura crítica».
Desde que se publicó la carta en línea, muchos expertos en seguridad y líderes
de la comunidad de ciberseguridad han expresado su preocupación. Temen que el
programa finalice abruptamente y que todos los profesionales del sector
carezcan de un método estandarizado para rastrear nuevos problemas de
seguridad si se cierran los servidores y se corta el acceso a la API de CVE de
las Autoridades de Numeración CVE.
Según Jean Easterly, exdirector de CISA, el resultado inmediato
probablemente sería el colapso de las herramientas y procesos de seguridad
más confiables y el colapso de todos los esfuerzos de coordinación
global.
«Puede que el sistema CVE no sea noticia, pero es uno de los pilares más
importantes de la ciberseguridad moderna. Perderlo sería como arrancar el
catálogo de fichas de todas las bibliotecas a la vez, dejando a los
defensores lidiando con el caos mientras los atacantes se aprovechan al
máximo»,
advirtió Easterly en LinkedIn. «Las ciberamenazas no se detienen en las fronteras, ni tampoco la defensa.
Los CVE son el lenguaje común utilizado en todo el mundo para compartir
inteligencia y coordinar acciones. Si se pierde eso, todos estamos volando a
ciegas».
Un portavoz de CISA declaró:
«Aunque el contrato de CISA con MITRE Corporation expirará después del 16
de abril, estamos trabajando urgentemente para mitigar el impacto y mantener
los servicios de CVE de los que dependen las partes interesadas globales».
Los problemas de MITRE para mantener la financiación del programa CVE se
producen en un momento en que el
NIST también se esfuerza por eliminar una gran cantidad de CVE atrasados
que necesitan ser enriquecidos para su Base de Datos Nacional de
Vulnerabilidades (NVD).
Fuente: BC