Un recurso esencial en el que los profesionales de ciberseguridad en el mundo se basan para identificar, mitigar y corregir las vulnerabilidades de seguridad en software y hardware pueden descomponerse. La organización de la investigación y el desarrollo sin fines de lucro financiado por el gobierno federal INGLETE advirtió hoy que su contrato para mantener Vulnerabilidades y exposiciones comunes (CVE), que tradicionalmente es financiado cada año por el Ministerio de Seguridad Interna, expira el 16 de abril.
Una carta del vicepresidente de Miter, Yosry Barsoum, advierte que el financiamiento del programa CVE expirará el 16 de abril de 2025.
Decenas de miles de defectos de seguridad en software se encuentran y informan cada año, y estas vulnerabilidades son en última instancia su propio número de seguimiento de CVE único (por ejemplo CVE-2024-43573que es un Microsoft Windows Pantano que Redmond corrigió el año pasado).
Hay cientos de organizaciones, llamadas Autoridades de numeración de CVE (CNA), que están autorizados por Miter para otorgar estos números de CVE en defectos recién informados. Muchos de estos CNA son países y gobierno, o vinculados a proveedores de software individuales o plataformas de divulgación de vulnerabilidades (programas de bonificación de errores).
En términos simples, Miter es un recurso crítico y ampliamente utilizado para centralizar y normalizar la información sobre las vulnerabilidades de software. Esto significa que la cartera de información que proporciona está conectada a una variedad de herramientas y servicios de ciberseguridad que ayudan a las organizaciones a identificar y corregir los agujeros de seguridad, idealmente antes de que el malware o los malcunantes puedan transmitir.
“Lo que las listas de CVE realmente proporcionan es un medio estandarizado para describir la gravedad de este defecto, y un repositorio centralizado que enumera las versiones cuyos productos son defectuosos y deben actualizarse”, dijo Matt fueJefe de la CorellioUna empresa de ciberseguridad que vende software de virtualización por teléfono para encontrar defectos de seguridad.
En una carta enviada hoy a la Junta Directiva de la CVE, Vicepresidente de Mitre Yosry Barsoum advirtió que el 16 de abril de 2025, “la forma de contratación actual para que Miter se desarrolle, explote y modernice el CVE y expirarán varios otros programas relacionados”.
“Si se produce un desglose del servicio, planificamos múltiples impactos en CVE, incluido el deterioro de las bases de datos y las opiniones nacionales de vulnerabilidad, los proveedores de herramientas, la respuesta a los incidentes y todo tipo de infraestructura crítica”, escribió Barsoum.
Miter le dijo a KrebsSonsecurity que las vulnerabilidades que figuran en el sitio web de CVE permanecerían después del vencimiento de la financiación, pero que el nuevo CVE no se agregará después del 16 de abril.
Una representación de cómo una vulnerabilidad se convierte en una cVE y la forma en que se consume esta información. Imagen: James Berthoty, Latio Tech, a través de LinkedIn.
Los funcionarios del DHS no respondieron de inmediato a una solicitud de comentarios. El programa está financiado a través de DHS Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), que actualmente enfrenta un presupuesto profundo y recortes de dotación por parte de la administración Trump.
Ex director de la CISA Jen es Dijo que el programa CVE es un poco como el sistema decimal Dewey, pero para la ciberseguridad.
“Es el catálogo global el que ayuda a todos (equipos de seguridad, proveedores de software, investigadores, gobiernos) a organizar y hablar sobre vulnerabilidades utilizando el mismo sistema de referencia”, dijo Easterly Un mensaje en LinkedIn. “Sin eso, todos usan un catálogo diferente o ningún catálogo, nadie sabe si hablan del mismo problema, los defensores pierden un tiempo precioso para comprender lo que está mal y lo que es peor, los actores de amenaza se benefician de la confusión”.
John HammondInvestigador principal de la seguridad de la compañía de seguridad administrada Cazador, le dijo a Reuters Juró en voz alta cuando se enteró de la noticia de que la financiación de CVE estaba en peligro y perder el programa CVE sería como perder “el idioma y la jerga que usamos para resolver problemas de ciberseguridad”.
“Realmente no puedo evitar pensar que solo va a doler”, dijo Hammond, quien publicó Un video de YouTube Para evacuar la situación y alertar a otros.
Varias personas cercanas le dijeron a KrebsSonsecurity que no era la primera vez que el presupuesto del programa CVE se dejó en el limbo de financiamiento hasta el último minuto. La carta de Barsoum, que aparentemente ha sido revelada, parecía una nota de esperanza, diciendo que el gobierno hizo “esfuerzos considerables para continuar el papel de Miter en el apoyo del programa”.
Tait dijo que sin el programa CVE, los gerentes de riesgos dentro de las empresas deben monitorear permanentemente muchos otros lugares para obtener información sobre nuevas vulnerabilidades que puedan comprometer la seguridad de sus redes informáticas. Esto significa que puede volverse más común que las actualizaciones de software, se secuestran, las empresas con software pirateable implementado más tiempo de lo que harían de otra manera, dijo.
“Espero que resuelvan esto, pero si no, la lista caerá rápidamente y dejará de ser útil”, dijo.