Una risorsa critica per la sicurezza informatica a rischio
Il programma Common Vulnerabilities and Exposures (CVE), fondamentale per i professionisti della cybersecurity di tutto il mondo, rischia di interrompersi. L’organizzazione di ricerca e sviluppo senza scopo di lucro MITRE, finanziata a livello federale, ha avvertito che il suo contratto per mantenere il programma CVE scadrà il 16 aprile 2025. Questo programma è tradizionalmente finanziato ogni anno dal Dipartimento della Sicurezza Interna degli Stati Uniti.
Ogni anno vengono scoperte e segnalate decine di migliaia di falle di sicurezza nei software, e a queste vulnerabilità viene assegnato un numero di tracciamento CVE unico (ad esempio, CVE-2024-43573, un bug di Microsoft Windows corretto da Redmond l’anno scorso). Ci sono centinaia di organizzazioni, note come CVE Numbering Authorities (CNAs), autorizzate da MITRE a assegnare questi numeri CVE alle nuove falle segnalate. Molte di queste CNAs sono specifiche per paese e governo, o legate a singoli fornitori di software o piattaforme di divulgazione delle vulnerabilità (come i programmi di bug bounty).
In parole semplici, MITRE è una risorsa critica e ampiamente utilizzata per centralizzare e standardizzare le informazioni sulle vulnerabilità dei software. Ciò significa che il flusso di informazioni che fornisce è integrato in una serie di strumenti e servizi di cybersecurity che aiutano le organizzazioni a identificare e correggere i buchi di sicurezza, idealmente prima che malware o malintenzionati possano sfruttarli.
Matt Tait, direttore operativo di Corellium, una società di cybersecurity che vende software di virtualizzazione per telefoni per trovare falle di sicurezza, ha dichiarato: “Quello che le liste CVE forniscono davvero è un modo standardizzato per descrivere la gravità di quel difetto e un repository centralizzato che elenca quali versioni di quali prodotti sono difettose e devono essere aggiornate”.
In una lettera inviata oggi al consiglio del CVE, il vicepresidente di MITRE, Yosry Barsoum, ha avvertito che il 16 aprile 2025 “il percorso contrattuale attuale per MITRE per sviluppare, operare e modernizzare CVE e diversi altri programmi correlati scadrà”. Barsoum ha scritto: “Se dovesse verificarsi un’interruzione del servizio, prevediamo molteplici impatti su CVE, inclusa la deteriorazione dei database nazionali delle vulnerabilità e degli avvisi, dei fornitori di strumenti, delle operazioni di risposta agli incidenti e di tutte le infrastrutture critiche”.
MITRE ha comunicato a KrebsOnSecurity che il sito web del CVE, che elenca le vulnerabilità, rimarrà attivo dopo la scadenza dei finanziamenti, ma che non verranno aggiunti nuovi CVE dopo il 16 aprile. I funzionari del Dipartimento della Sicurezza Interna non hanno risposto immediatamente a una richiesta di commento. Il programma è finanziato attraverso la Cybersecurity & Infrastructure Security Agency (CISA) del DHS, che attualmente affronta tagli significativi al budget e al personale.
Fonte: Krebs on Security
