El vicepresidente de MITRE, Yosry Barsoum, advirtió que la financiación del gobierno estadounidense para los programas de Vulnerabilidades y Exposiciones Comunes (CVE) y Enumeración de Debilidades Comunes (CWE) vence hoy, lo que podría provocar una disrupción generalizada en la industria global de la ciberseguridad.
Esta noticia llega en un momento en que se espera que CISA, principal agencia socia de MITRE en el Programa CVE, enfrente reducciones significativas en varios de sus equipos, incluyendo a los contratistas. Varios contratos ya se han rescindido dentro de la agencia o se han dejado caducar, según dos personas familiarizadas con el asunto.
El Programa CVE proporciona un sistema estandarizado para identificar y catalogar vulnerabilidades de ciberseguridad públicamente conocidas. A cada vulnerabilidad se le asigna un identificador único, diseñado para ayudar a los investigadores, proveedores y funcionarios de seguridad a comunicarse de forma coherente sobre el mismo problema. Agencias como CISA emiten regularmente alertas de vulnerabilidad utilizando lenguaje estandarizado para CVE.
Utilizado ampliamente en diversos sectores, desde la industria privada hasta las agencias nacionales de inteligencia, el Programa CVE ha servido como el estándar global de facto durante 25 años para ayudar a clasificar las vulnerabilidades de ciberseguridad.
MITRE mantiene (¿mantenía?) CVE, el programa más crítico de los dos, con financiación de la División Nacional de Ciberseguridad del Departamento de Seguridad Nacional (DHS) de EE.UU. CVE es crucial para proporcionar precisión, claridad y estándares compartidos al analizar vulnerabilidades de seguridad.
El programa se ha adoptado ampliamente en diversas herramientas de ciberseguridad, incluyendo sistemas de gestión de vulnerabilidades, y permite rastrear todas las vulnerabilidades recién descubiertas mediante identificadores CVE (ID CVE) asignados por las Autoridades de Numeración CVE (CNA) de todo el mundo, siendo MITRE el editor de CVE y la CNA principal.
CVE también ayuda a evitar la confusión causada por el uso de múltiples nombres para una sola falla de seguridad, facilita la catalogación coordinada de nuevas vulnerabilidades y facilita que los equipos de seguridad compartan información con mayor facilidad a través de avisos, bases de datos de vulnerabilidades y otros recursos mediante un sistema de referencia estándar.
«El miércoles 16 de abril de 2025, expirará el proceso de contratación actual de MITRE para desarrollar, operar y modernizar CVE y otros programas relacionados, como CWE. El gobierno continúa realizando esfuerzos considerables para que MITRE continúe apoyando el programa», advirtió Barsoum en una carta enviada a los miembros de la Junta de CVE. «Si se produjera una interrupción del servicio, prevemos múltiples impactos en CVE, incluyendo el deterioro de las bases de datos y avisos nacionales de vulnerabilidades, los proveedores de herramientas, las operaciones de respuesta a incidentes y todo tipo de infraestructura crítica».
Desde que se publicó la carta en línea, muchos expertos en seguridad y líderes de la comunidad de ciberseguridad han expresado su preocupación. Temen que el programa finalice abruptamente y que todos los profesionales del sector carezcan de un método estandarizado para rastrear nuevos problemas de seguridad si se cierran los servidores y se corta el acceso a la API de CVE de las Autoridades de Numeración CVE.
Según Jean Easterly, exdirector de CISA, el resultado inmediato probablemente sería el colapso de las herramientas y procesos de seguridad más confiables y el colapso de todos los esfuerzos de coordinación global.
«Puede que el sistema CVE no sea noticia, pero es uno de los pilares más importantes de la ciberseguridad moderna. Perderlo sería como arrancar el catálogo de fichas de todas las bibliotecas a la vez, dejando a los defensores lidiando con el caos mientras los atacantes se aprovechan al máximo», advirtió Easterly en LinkedIn. «Las ciberamenazas no se detienen en las fronteras, ni tampoco la defensa. Los CVE son el lenguaje común utilizado en todo el mundo para compartir inteligencia y coordinar acciones. Si se pierde eso, todos estamos volando a ciegas».
Un portavoz de CISA declaró: «Aunque el contrato de CISA con MITRE Corporation expirará después del 16 de abril, estamos trabajando urgentemente para mitigar el impacto y mantener los servicios de CVE de los que dependen las partes interesadas globales».
Los problemas de MITRE para mantener la financiación del programa CVE se producen en un momento en que el NIST también se esfuerza por eliminar una gran cantidad de CVE atrasadosque necesitan ser enriquecidos para su Base de Datos Nacional de Vulnerabilidades (NVD).
Actualización: Anoche, CISA ejecutó el período de extensión de 11 meses del contrato, para garantizar que no haya interrupciones en los servicios críticos de CVE, declaró un portavoz de la agencia. El anuncio de CISA sobre la extensión el martes por la noche se produjo pocas horas después de que un subgrupo de la Junta de CVE anunciara su intención de disolverse para mantener el programa bajo un nuevo organismo llamado Fundación CVE.
Fuente y redacción: segu-info.com.ar
