NIST vs hackers: NVD conquista una montaña de 18,000 vulnerabilidades

El Instituto Nacional de Estándares y Tecnología (NIST) anunció que ha logrado procesar todo el volumen acumulado de vulnerabilidades no tratadas, aunque admitió que no será posible eliminar completamente el retraso antes de fin de año.

A principios de año, se descubrió que debido a la reducción de recursos del NIST, miles de vulnerabilidades críticas no se estaban analizando ni enriqueciendo con datos adicionales. El enriquecimiento es el proceso de añadir información detallada sobre la vulnerabilidad en la base NVD.

Con la ayuda de CISA y varias empresas privadas, NIST ahora cuenta con un equipo completo de analistas y ha comenzado a procesar de forma rápida todas las nuevas entradas de vulnerabilidades tan pronto como llegan. Además, todas las vulnerabilidades del catálogo KEV que estaban en cola ya han sido analizadas. Actualmente, todas las nuevas vulnerabilidades también se procesan a tiempo.

En septiembre, los especialistas de VulnCheck informaron que al 21 de septiembre, todavía quedaban más de 18,000 vulnerabilidades sin procesar en la base de datos, lo que representa aproximadamente el 72.4% de todas las entradas CVE. Casi la mitad de estas vulnerabilidades ya habían sido explotadas por hackers, pero aún no habían sido analizadas en detalle.

NIST señaló que inicialmente esperaba gestionar todas las vulnerabilidades antes de fin de año, pero ese plan resultó ser demasiado optimista. El problema radica en que los datos proporcionados por proveedores autorizados (Authorized Data Providers, ADP) , como CISA, llegan en formatos que requieren procesamiento adicional. Actualmente, se están desarrollando nuevos sistemas para agilizar el procesamiento de dichos datos.

CISA se convirtió en el primer proveedor oficial de datos para NIST este año, lo que permitió al organismo ingresar información sobre nuevas vulnerabilidades directamente en el sistema. Hasta ahora, NIST no ha especificado si hay otros proveedores además de CISA.

A partir del 18 de noviembre de 2024, NVD implementará actualizaciones en el sistema que permitirán recopilar datos más detallados de fuentes certificadas (CNA y ADP). Ahora, las entradas de CVE incluirán más información, como enlaces, CWE y puntuaciones CVSS, que se mostrarán en el sitio web y a través del API. Esto conducirá a actualizaciones más frecuentes de las entradas, por lo que las empresas deben estar preparadas para un aumento en el volumen de datos.

Además, NVD mejorará el procesamiento de enlaces duplicados: las etiquetas se aplicarán automáticamente a todos los enlaces duplicados. También se actualizará el orden de visualización de eventos en el historial de cambios de CVE. Se eliminarán los parámetros obsoletos del API, como HasCertAlerts y HasOval, simplificando la búsqueda de vulnerabilidades. El soporte para la nueva versión CVSS v4.0 permitirá evaluar los riesgos con mayor precisión utilizando criterios actualizados.

En abril pasado, expertos en ciberseguridad enviaron una carta al Congreso y a la Secretaria de Comercio de EE. UU., Gina Raimondo, solicitando financiamiento adicional para apoyar al NVD. En la carta al Congreso se subraya que no restaurar la funcionalidad del NVD amenaza la seguridad de todos, destacando incidentes recientes, como el ciberataque a Change Healthcare, que paralizó el sector de la salud durante varias semanas.

El 8 de mayo, la agencia CISA anunció el lanzamiento del programa Vulnrichment para añadir metadatos a las vulnerabilidades. MITRE, que gestiona el programa CVE, también aprobó nuevas reglas para las organizaciones que asignan CVE. Decenas de expertos en ciberseguridad firmaron previamente una carta dirigida al Congreso y a la Secretaria de Comercio de EE. UU., Gina Raimondo, instándolos a financiar y proteger al NVD, calificándolo como «infraestructura crítica para numerosos productos de ciberseguridad».