Mais de 90% dos registros de CVEs enviados para a NVD (Base Nacional de de Dados de Vulnerabilidades), do governo americano, não foram analisados ou complementados desde que a agência anunciou cortes de verbas sofridos em fevereiro. A NVD é um recurso de informação crítico para os profissionais de segurança cibernética e foi forçada a limitar as suas operações devido à escassez de financiamento e a um grande influxo de novas vulnerabilidades. O processo conhecido como enriquecimento de CVEs, que adiciona informações públicas após a criação de um registro de vulnerabilidade, foi severamente limitado por essa desaceleração.
Pesquisadores da VulnCheck analisaram a atividade do NVD desde que anunciou cortes em 12 de fevereiro e descobriram que das 12.720 novas vulnerabilidades adicionadas desde então, 11.885 “não foram analisadas ou enriquecidas com dados críticos que ajudem os profissionais de segurança a determinar qual software foi afetado por uma vulnerabilidade”.
Veja isso
Ataques exploram vulnerabilidade desconhecida no Windows
Mais de 50% dos sinistros decorrem de fraudes por e-mail
O VulnCheck tem uma lista de vulnerabilidades que classifica como exploradas e disse que quase metade desses bugs não foram analisados pelo NVD desde a desaceleração. Outros 82% dos bugs que possuem exploração pública de prova de conceito também não foram examinados, de acordo com a empresa.
“Numerosas vozes proeminentes e influentes na indústria alertaram sobre como isso dá aos agentes de ameaças mal-intencionados uma vantagem no uso de vulnerabilidades com explorações que aumentam enormemente os riscos da cadeia de suprimentos em setores críticos”, disse Patrick Garrity, da VulnCheck.
“Com a recente desaceleração do Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST, é crucial compreender a gravidade da situação. Atores de ameaças estatais e gangues de ransomware continuam a atacar organizações com consequências devastadoras, enquanto nossa própria casa está em desordem.”
Garrity acrescentou que, por mais de 20 anos, o NVD forneceu aos especialistas em segurança cibernética informações críticas, como pontuações de gravidade, tags de referência, classificações de vulnerabilidade e outros dados fáceis de consumir sobre bugs que afetam softwares populares.
Sem esses dados, disse Garrity, “as perspectivas para o NVD são sombrias”.
