De CVE-database zou dan toch niet meteen offline gaan. Het Amerikaanse Departement voor Binnenlandse Veiligheid legt de subsidies voor de non-profit stil, maar het contract blijft nog even lopen.
De CVE-database (wat staat voor Common Vulnerabilities and Exposures) is de database die door veel cybersecuritydiensten gebruikt wordt om gevonden kwetsbaarheden te identificeren. In die zin is de database een belangrijk onderdeel van het wereldwijde cybersecuritynetwerk. Maar die dienst zou woensdag dus op de schop gaan.
Het contract dat de non-profit MITRE Corporation had met de CISA, het Amerikaanse Agentschap voor Cybersecurity en Infrastructuur, komt ten einde. Dat meldt MITRE en is bevestigd door de Amerikaanse overheid. De regering Trump is al enkele weken bezig met zware kostenbesparingen. Het betekent echter dat de database zonder geld valt en offline gaat.
Update: CISA heeft ondertussen een tijdelijke verlenging van het contract toegezegd. Dat moet alle partijen toelaten om overgangsmaatregelen te nemen en alternatieven te zoeken. ‘Het CVE-programma is een onmisbaar voor de cybergemeenschap en een prioriteit voor CISA,’ meldt de dienst aan onder meer techsite BleepingComputer. ‘De voorbije nacht heeft CISA een optionele verlenging uitgevoerd aan het contract om te verzekeren dat er geen kritieke CVE-diensten wegvallen. We bedanken onze partners en stakeholders voor hun geduld.’
Een standaard in de sector
Een abrupte sluiting van de database kan voor problemen zorgen in de internationale cybersecurity. De database, die al sinds 1999 bestaat, vormt een standaard voor het verzamelen, identificeren en optekenen van kwetsbaarheden. Voordat CVE bestond, deed zowat elk securitybedrijf dat zelf, en waren er verschillende standaarden en formats. Door elke kwetsbaarheid een uniek CVE-nummer te geven en een classificering in de database, kunnen professionals makkelijker communiceren en is het voor iedereen duidelijk waarover ze het hebben.
‘De database is voor security professionals wel belangrijk,’ zegt Reinaert Van de Cruys, medezaakvoerder van het securitybedrijf Fox & Fish, ‘als we bijvoorbeeld audits doen bij bedrijven, gaan we scanners gebruiken die kwetsbaarheden identificeren aan zo’n CVE-nummer. De nummers komen ook terug in softwarepakketten, in fora, ze bieden een goede manier om erover te communiceren met andere onderzoekers. Het feit dat er daar geen dubbelzinnigheid is, maakt het veel gemakkelijker.’
De database staat onder controle van de Amerikaanse overheid, maar het gaat wel om een internationaal project. Honderden security-onderzoekers en -bedrijven van over de hele wereld werken mee aan het vullen en updaten van de database. ‘Verschillende autoriteiten kunnen CVE’s uitschrijven,’ zegt Van de Cruyse daarover. ‘Een bedrijf als HP kan bijvoorbeeld een CVE maken als het een kwetsbaarheid in zijn systemen vindt. Maar je hebt wel iemand nodig om die nummers allemaal te centraliseren. Dit is geen standaard zoals het internetprotocol. Een organisatie moet daar dagelijks nieuwe nummers aan toevoegen. Als die morgen stopt met werken, dan merken we dat morgen al.’
Alternatieven zoeken
De gemeenschap krijgt na de eerste waarschuwing over het einde van de database dus toch nog even respijt. Wel wordt het afwachten wanneer er een alternatief wordt gevonden, en hoe dat er dan zal uitzien. Historische CVE-data blijft ondertussen wel beschikbaar op GitHub maar niet worden geupdated zodra de database echt wegvalt. Gezien er tienduizenden CVE’s per jaar worden gepubliceerd, kan het beheren van kwetsbaarheden voor bedrijven en organisaties de komende tijd dan ook lastig worden.
Mogelijk zullen verschillende securitybedrijven samenwerken om een nieuwe database te bouwen. Een groep bestuursleden van MITRE hebben ondertussen al een CVE foundation opgericht. In een mededeling meldt de vermoedelijke non-profit dat ze het werk van de database wil voortzetten, onafhankelijk van de Amerikaanse overheid. Veel meer info geeft de groep momenteel nog niet. Wordt ongetwijfeld vervolgd.
Update 14u30: Quote en toevoeging CVE foundation
Update 15u30: Verlenging contract CISA
Fout opgemerkt of meer nieuws? Meld het hier