NIST 国家漏洞数据库中断导致 CVE 丰富工作暂停

美国国家标准与技术研究院 (NIST) 正在发生一些神秘的事情，这可能会使许多组织容易受到威胁行为者的攻击。

自 2024 年 2 月 12 日起，NIST 几乎完全停止丰富其国家漏洞数据库 (NVD) 中列出的软件漏洞，NVD 是全球使用最广泛的软件漏洞数据库。

固件安全提供商 NetRise 的首席执行官 Tom Pace 告诉Infosecurity，自该日期以来发布的 2700 个漏洞（称为常见漏洞和暴露 (CVE)）中只有 200 个得到了丰富。

未能丰富 CVE 意味着添加到数据库中的 2500 多个漏洞已上传，而没有关键的元数据信息。

此信息包括对漏洞和可能导致利用的软件“弱点”的描述（称为常见弱点和暴露，或 CWE）、受影响的软件产品的名称、漏洞的关键性评分 (CVSS) 以及漏洞的修补状态。

NVD 上的浓缩数据上传大幅下降

该问题首先由软件安全提供商 Anchore 的安全副总裁 Josh Bressers 发现，他于 3 月 8 日发布了一篇博文，显示 NVD 上的浓缩数据自 2 月 12 日左右以来大幅下降。

来源：锚点

思科威胁检测与响应首席工程师 Jerry Gamblin 分享了另一张图表，显示与 2023 年相比，处于“已分析”状态的 CVE 显着下降，这意味着它们已得到完整记录，而“等待分析”的 CVE 则有所增加。

来源：思科

Gamblin 和NetRise的其他帖子表明，富含关键元数据（例如 CWE、通用产品枚举器 (CPE) 和关键性评分 (CVSS)）的已发布 CVE 数量也出现类似下降。

因此，尽管发布了新漏洞，但它们目前并未标记到特定产品，从而使组织无法了解特定漏洞可能影响其环境中的哪些产品和系统。

软件安全提供商 Chainguard 联合创始人兼首席执行官 Dan Lorenc在接受Infosecurity采访时评论道：“NVD 似乎完全放弃了向 CVE 添加 CPE 匹配，这意味着 CVE 条目不包含有关软件的任何元数据实际上受到了影响。”

3 月 13 日，Anchore 的 Bressers 分享了第一张图的更新版本，确认过去 30 天内只有很少的 CVE 得到了丰富。

来源：锚点

整个网络安全社区的“大问题”

如果此类问题不能迅速解决，可能会对安全研究人员社区和全球所有组织产生重大影响。

NetRise 的 Pace 解释道：“这意味着你要求整个网络安全社区在一夜之间以某种方式找出操作系统、软件包、应用程序、固件或设备中存在哪些漏洞。这是一项完全不可能完成的任务！”

洛伦克对此表示同意，并称该事件是一个“大问题”。

“我们现在依靠行业警报和社交媒体来确保我们尽快对 CVE 进行分类，”他说。

“扫描仪、分析器和大多数漏洞工具都依赖 NVD 来确定哪些软件受到哪些漏洞的影响，”Lorenc 补充道。“如果组织无法有效地对漏洞进行分类，就会面临更大的风险，并在漏洞管理方面留下重大差距。”

NIST 暗示成立新 NVD 联盟

2 月 15 日，国家漏洞数据库网站宣布，用户可能会遇到“分析工作延迟”，因为 NIST“目前正在努力建立一个联盟，以解决 NVD 计划中的挑战并开发改进的工具和方法。”

Aquia 总裁 Chris Hughes 表示，这条消息没有为安全界提供足够的信息。

“这个联盟到底是什么，谁将参与其中，将做出哪些改变，以及当涉及到从最广泛使用的漏洞数据库进行漏洞分析时，我们作为一个行业会看到什么样的延迟？” Hughes在 3 月 11 日 Substack 上的 Resilient Cyber 时事通讯中发表的一篇文章中写道。

当 NetRise 的 Pace 读到 NVD 的公告时，他感到很惊讶。“多年来，我们一直按照相同的流程披露和丰富漏洞，而且效率很高。为什么我们现在需要一个财团？”

截至发稿时，NVD 网站尚未发布任何进一步的公告。

Infosecurity已联系 NIST 和 MITRE（一家负责维护 CVE 的美国非营利组织），但截至撰写本文时，他们尚未回复评论请求。

解释 NVD 联盟必要性的假设

这些 NVD 中断的原因或需要建立一个联盟仍不清楚。

Hughes 表示，此前 NVD 利益相关者内部曾讨论过更换 CPE 的问题。这种替代品可以是软件识别 (SWID) 标签，这是可信计算组织 (TCG) 和互联网工程任务组 (IETF) 支持的软件标签标准。

不过，他表示这不太可能发生。“鉴于 SWID 作为业界领先的格式已被排除在有关软件物料清单 (SBOM) 的讨论之外，相反，我们看到来自 OWASP 的 CycloneDX 和来自 Linux 基金会的 SPDX 主导了 SBOM 格式的讨论。”

“另一个有用的说明是，考虑到软件包和开源软件 (OSS) 的普遍使用，目前有一些被称为“SBOM 论坛”的人主张 NVD 也采用软件包 URL (PURL)，但这是否会实现仍有待确定，”休斯补充道。

此类内部讨论可能促使 NVD 围绕新成立的财团进行重组。

不管出于什么原因，洛伦克批评内务部在沟通方面缺乏透明度。他补充说，这并不是安全界第一次严厉批评 NIST 运营的团队。

“特别是在过去的一年里，NVD 受到了行业和那些致力于修复破碎的漏洞生态系统的人们的密切关注。从历史上看，NVD 解决了巨大的可见性差距，但今天，它已经落后了，”Lorenc 解释道。

“因此，我们开始看到其他资源的出现，以及一些国家正在考虑创建自己的资源。这在欧盟的网络弹性法案中最为明显，”他说。

大西洋理事会最近的一项分析显示，中国最近还更新了其漏洞披露生态系统。

美国联邦政府向承包商发布 NVD 要求 

这一事件恰逢联邦风险和授权管理计划 (FedRAMP Rev. 5) 最新修订版的发布，这是一项美国联邦法律，要求任何想要与联邦政府开展业务的公司使用 NVD 作为事实来源并修复其中所有已知的漏洞。

洛伦茨指出：“感觉 NIST 正试图以某种方式终止或放弃该计划，而政府其他部门却在强制采用该计划。”

除了丰富度下降之外，NVD API 也遇到了前所未有的规模问题，促使漏洞情报提供商 VulnCheck 发布了名为 VulnCheck NVD++ 的免费替代方案。

Infosecurity 已联系 NIST 和 MITRE，但截至撰写本文时，它们尚未回复评论请求。