Szerdán leállhat az egyik legfontosabb globális kiberbiztonsági adatbázis

Szerdán megakadhat az egyik, ha nem a legfontosabb kiberbiztonsági adatbázis működése – írja Brian Krebs kiberbiztonsági szakértő. Jelenleg még fut a Gyakori sebezhetőségek és kockázatok (Common Vulnerabilities and Exposures – CVE)-program, amiben rendszergazdák, fejlesztők és kiberbiztonsági szakemberek folyamatosan megosztják a felmerülő problémákat szoftverekkel és hardverekkel, hogy azokat minél előbb befoltozzák.

A MITRE nevű nonprofit kutató- és fejlesztőintézet, ami a CVE-t működteti, április 15-én jelezte, hogy másnaptól megszűnik a szerződése az amerikai kormánnyal (egész pontosan a belbiztonsági minisztériummal), ami ahhoz vezethet, hogy nem tudják frissíteni a kulcsfontosságú adatbázist. Emiatt szoftverek és rendszerek sebezhetőbbé válhatnak, ami világszerte komoly kockázatot jelentene.

„Ha a szolgáltatás megszakadna, több hatása is lenne a CVE-re, többek között a nemzeti sebezhetőségi adatbázisok és tájékoztatók, az eszközgyártók, az incidensekre reagáló műveletek és mindenféle kritikus infrastruktúra romlása”

– írta a CVE igazgatótanácsának szóló levelében Yosry Barsoum, a MITRE alelnöke.

Évente több tízezer sérülékenységet jelentenek a CVE-ben, és ezek kapnak is egy CVE-számot (mint például CVE-2021-35587, ami egy olyan biztonsági rés, amin keresztül nemrég behatoltak az Oracle rendszerébe). Azzal, hogy a hibák egyedi azonosítókat kapnak, világszerte minden fejlesztő, kutató számára egyértelmű, hogy melyik szoftver melyik verziójának melyik hibájáról van szó, így egyrészt gyorsabban be lehet foltozni, másrészt mivel egy központi adatbázisba kerül az összes ilyen hiba, a CVE-számok miatt nem kezdenek el keresztbe dolgozni a fejlesztők a hibák kijavításán. Ez gyakorlatilag egy közös nyelv a szakemberek számára.

Alapvetően nem is csak egy böngészhető adatbázisról van szó, a MITRE által felépített információhalmaz több kiberbiztonsági eszközbe is be van kötve, amivel szervezetek hamar értesítést kapnak a hibákról.

„A CVE-listák a hiba súlyosságának szabványosított leírását, valamint egy központosított tárhelyet biztosítanak, ami felsorolja, hogy melyik termékek melyik verziói hibásak és szorulnak frissítésre”

– mondta Matt Tait, a Corellium COO-ja.

A MITRE Krebsnek azt mondta, hogy ha valóban megvonják tőlük az állami támogatást, akkor az addig bejelentett sebezhetőségek továbbra is elérhetőek maradnak az adatbázisukban, csak nem lehet majd kiosztani új CVE-ket.

A belbiztonsági minisztérium alá tartozó kiberbiztonsági és infrastruktúrabiztonsági ügynökség korábbi igazgatója, Jen Easterly a LinkedInen azt írta, hogy a CVE olyan, mint a Dewey-féle tizedes osztályozás a könyvtárak számára. Egy globális katalógus, ami mindenki számára lehetővé teszi, hogy úgy rendszerezzék a hibákat és úgy kommunikáljanak azokról, hogy mindenki más is megértse.

„Enélkül mindenki más katalógust használ, vagy egyáltalán nem használ katalógust, senki sem tudja, hogy ugyanarról a problémáról beszélnek-e, a kiberbiztonsági szakemberek értékes időt pazarolnak arra, hogy kiderítsék, mi a baj, és ami a legrosszabb, a rossz szándékú szereplők kihasználják a zűrzavart”

– írta Easterly.

Nem ez az első, hogy veszélybe került a CVE-program finanszírozása, de eddig legkésőbb az utolsó pillanatban mindig megoldódott a probléma. Barsoum kiszivárgott levelében azt írta, hogy a kormány dolgozik azon, hogy a MITRE megkapja a megfelelő támogatást. Azonban a belbiztonsági minisztériumnál épp költségcsökkentés zajlik, így elég bizonytalan a CVE-rendszer sorsa.