Los piratas informáticos se regocijan: NVD se ahoga en un rezago de vulnerabilidades
3 meses sin actualizaciones — una excelente oportunidad para los ciberdelincuentes.
La mayor base de datos de vulnerabilidades del mundo NVD, administrada por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), sufrió recientemente una grave interrupción que provocó un aumento significativo en el número de vulnerabilidades no publicadas.
Desde mediados de febrero de 2024, la base de datos comenzó a experimentar problemas para procesar nuevos datos y, a partir del 9 de mayo, el servicio dejó de mostrar nuevas vulnerabilidades por completo, lo que generó preocupación entre los investigadores de ciberseguridad.
Todos los especialistas involucrados de los sectores público y privado están haciendo todo lo posible para ingresar el extenso rezago acumulado durante tres meses en la base de datos y llenar los vacíos donde sea posible.
Desde el 12 de febrero de este año, NIST solo pudo analizar y agregar 4,524 de las 14,286 vulnerabilidades a su base de datos. Todo esto afecta negativamente a la conciencia de los equipos de seguridad y crea nuevas oportunidades para los actores maliciosos.
En la reciente conferencia RSA, Emmanuel Chavoyat, CEO de RiskHorizon.ai, declaró que las vulnerabilidades sin procesar ya se están explotando activamente. Muchas empresas dependen de NVD para actualizar y arreglar software, por lo que la detención de las publicaciones se ha convertido en un problema grave.
Empleados de varias empresas y agencias gubernamentales confirmaron que desde el 9 de mayo no se han agregado nuevas vulnerabilidades a la base de datos a través de la API. Un representante de NIST explicó que los problemas fueron causados por la transición al nuevo formato de datos CVE JSON. El procesamiento de vulnerabilidades no se detuvo, pero las publicaciones públicas se suspendieron para actualizar el sistema, lo cual se completó el 14 de mayo.
En marzo, Tanya Brewer, gerente del programa NVD, anunció la creación de un consorcio para abordar los problemas, pero los detalles específicos aún se desconocen. Mientras tanto, empresas privadas como RiskHorizon.ai lanzaron su propia plataforma llamada «NVD Backlog Tracker» para rastrear las vulnerabilidades sin procesar.
RiskHorizon.ai afirma cubrir el 85% de las vulnerabilidades sin procesar, proporcionando datos sobre su criticalidad y actividad de explotación, pero el acceso a la plataforma es de pago.
Otras compañías como Trend Micro y VulnCheck también están publicando activamente nuevas vulnerabilidades, ofreciendo una alternativa a NVD.
El 8 de mayo, la Agencia de Ciberseguridad e Infraestructura de Seguridad de EE.UU. (CISA) anunció el lanzamiento del programa Vulnrichment para agregar metadatos a las vulnerabilidades. MITRE, que administra el programa CVE, también aprobó nuevas reglas para las organizaciones que asignan CVE.
Si bien las medidas actuales ayudan a reducir el retraso en el análisis de vulnerabilidades, el CEO de RiskHorizon.ai cree que se necesitan soluciones a largo plazo. Propone automatizar el proceso de divulgación de vulnerabilidades, lo cual, en su opinión, permitiría abordar el problema de manera más eficiente.
Las huellas digitales son tu debilidad, y los hackers lo saben