安全威胁上升！NVD数据库漏洞信息不全引发关注

美国国家标准与技术研究院 （NIST） 正在发生一些神秘的事情，这可能使许多组织容易受到威胁行为者的攻击。

自 2024 年 2 月 12 日以来，NIST 几乎完全停止丰富其国家漏洞数据库 （NVD） 中列出的软件漏洞，NVD（世界上使用最广泛的软件漏洞数据库）。

固件安全提供商NetRise的首席执行官汤姆·佩斯（Tom Pace）告诉Infosecurity，自该日期以来发布的2700个漏洞中，只有200个漏洞（称为常见漏洞和暴露（CVE））得到了扩充。

未能扩充 CVE 意味着已上传添加到数据库的 2500 多个漏洞，而没有关键的元数据信息。

此信息包括对可能导致漏洞利用的漏洞和软件“弱点”的描述（称为常见弱点和披露，或 CWE）、受影响的软件产品名称、漏洞的关键性评分 （CVSS） 以及漏洞的修补状态。

NVD 上的富集数据上传量大幅下降

该问题最初是由软件安全提供商 Anchore 的安全副总裁 Josh Bressers 发现的，他在 3 月 8 日发表了一篇博客文章，显示从 2 月 12 日左右开始，NVD 上的扩充数据大幅下降。

思科威胁检测与响应首席工程师杰里·甘布林（Jerry Gamblin）分享了另一张图表，显示与2023年相比，处于“已分析”状态的CVE显着下降，这意味着它们已被完整记录，而“等待分析”的CVE有所增加。

Gamblin 和 NetRise 的其他帖子表明，富含关键元数据（如 CWE、通用产品枚举器 （CPE） 和关键性分数 （CVSS））的已发布 CVE 数量也出现了类似的下降。

因此，尽管发布了新的漏洞，但它们目前并未标记到特定产品，使组织对其环境中的特定漏洞可能影响的产品和系统视而不见。

软件安全提供商 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 在接受 Infosecurity 采访时评论道：“NVD 似乎已经完全放弃了将 CPE 匹配添加到 CVE 中，这意味着 CVE 条目不包含任何关于实际受影响的软件的元数据。

3 月 13 日，Anchore 的 Bressers 分享了第一张图的更新版本，确认在过去 30 天内很少有 CVE 被丰富。

对于整个网络安全社区来说，这是一个“大问题”

如果这些问题得不到迅速解决，它们可能会对安全研究人员社区和全球所有组织产生重大影响。

NetRise的Pace解释说：“这意味着你要要求整个网络安全社区在一夜之间以某种方式找出操作系统、软件包、应用程序、固件或设备中的漏洞。这是一项完全不可能、站不住脚的任务！

劳伦斯对此表示同意，并称这一事件是一个“大问题”。

“我们现在依靠行业警报和社交媒体来确保我们尽快对 CVE 进行分类，”他说。

“扫描器、分析仪和大多数漏洞工具都依靠NVD来确定哪些软件受到哪些漏洞的影响，”Lorenc补充道。“如果组织不能有效地对漏洞进行分类，就会使他们面临更大的风险，并在其漏洞管理态势中留下重大差距。”

NIST暗示新的NVD联盟

2月15日，美国国家漏洞数据库网站宣布，用户可能会遇到“分析工作延迟”，因为NIST“目前正在努力建立一个联盟，以应对NVD计划中的挑战，并开发改进的工具和方法”。

Aquia总裁克里斯·休斯（Chris Hughes）表示，该消息没有为安全社区提供足够的信息。

“这个联盟到底是什么，谁将参与其中，将做出哪些改变，以及当涉及到使用最广泛的漏洞数据库的漏洞分析时，我们将看到什么样的延迟？”Hughes 在 3 月 11 日发表在 Substack 上的 Resilient Cyber 时事通讯中的一篇文章中写道。

NetRise 的 Pace 在阅读 NVD 公告时感到惊讶。“多年来，我们一直在按照相同的流程披露和丰富漏洞，而且非常有效。为什么我们现在需要一个财团？

在撰写本文时，NVD网站尚未发布任何进一步的公告。

Infosecurity已经联系了NIST和MITRE，MITRE是一家负责维护CVE的美国非营利组织，但在撰写本文时，他们尚未回应置评请求。

解释 NVD 联盟需求的假设

这些NVD中断的原因或对财团的需求仍然未知。

根据Hughes的说法，NVD利益相关者圈子之前曾讨论过取代CPE。这种替代可以是软件标识 （SWID） 标签，这是受信任计算组织 （TCG） 和互联网工程任务组 （IETF） 支持的软件标签标准。

但是，他说这不太可能发生。“鉴于SWID已经被排除在围绕软件物料清单（SBOM）作为行业领先格式的讨论之外，相反，我们看到OWASP的CycloneDX和Linux基金会的SPDX主导了SBOM格式的讨论。

“另一个有用的说明是，鉴于软件包和开源软件（OSS）的普遍使用，目前有一些被称为'SBOM论坛'的人也主张NVD采用软件包URL（PURL），但这是否实现仍有待确定，”Hughes补充道。

像这样的内部讨论可能促使NVD围绕一个新成立的财团进行重组。

不管是什么原因，劳伦斯批评NVD在沟通方面缺乏透明度。他补充说，这不是安全界第一次严厉批评NIST运营的团队。

“特别是在过去的一年里，NVD受到了业界和那些致力于修复破碎的漏洞生态系统的人的广泛审查。从历史上看，NVD解决了巨大的能见度差距，但今天，它已经落后了，“劳伦斯解释说。

“因此，我们开始看到其他资源出现，以及考虑开始自己的资源的国家。这在欧盟的《网络弹性法案》中最为明显，“他说。

大西洋理事会（Atlantic Council）最近的一项分析显示，中国最近还更新了其漏洞披露生态系统。

美国联邦政府向承包商发布NVD要求

这一事件恰逢联邦风险和授权管理计划（FedRAMP Rev. 5）最新修订版的发布，这是一项美国联邦法律，要求任何希望与联邦政府开展业务的公司使用 NVD 作为事实来源并修复其中所有已知的漏洞。

劳伦斯指出：“感觉NIST正试图以某种方式结束这个项目或将其移交给政府，而政府的其他领域正在强制采用它。

随着扩充量的下降，NVD API 也遇到了前所未有的问题，促使漏洞情报提供商 VulnCheck 发布了一个名为 VulnCheck NVD++ 的免费替代品。

Infosecurity已经联系了NIST和MITRE，在撰写本文时，它们尚未回应置评请求。

   END