CVE, lo standard globale per le vulnerabilità, resta senza fondi federali: il programma è a rischio

Il programma Common Vulnerabilities and Exposures (CVE), attivo dal 1999 e gestito da MITRE per conto del governo statunitense, non riceverà più finanziamenti pubblici a partire da oggi 16 aprile. La decisione arriva senza alcun piano di transizione e lascia nel limbo uno dei pilastri della sicurezza informatica a livello globale.

CVE è lo standard condiviso che consente a ricercatori, aziende, enti pubblici e fornitori di software di parlare la stessa lingua quando si tratta di vulnerabilità. Ogni bug riceve un codice identificativo univoco allo scopo di rendere più semplice il coordinamento tra gli attori coinvolti nella mitigazione dei rischi.

Senza nuovi fondi, il servizio potrebbe interrompersi completamente: assegnazioni di nuovi codici, aggiornamenti, ma anche l'accesso al sito ufficiale sono ora in discussione. MITRE ha confermato la cessazione del contratto con il Dipartimento della Sicurezza Interna, da cui dipendeva la maggior parte del budget.

VulnCheck, una delle CVE Naming Authority, ha già riservato 1.000 codici per cercare di coprire almeno un paio di mesi di attività, ma il margine è stretto. Secondo gli esperti, un vuoto operativo in questo ambito aprirebbe la porta a confusione normativa, inefficienze nei sistemi di protezione e ritardi nelle risposte agli incidenti. Restano online, almeno per ora, gli archivi storici ospitati su GitHub. Ma il futuro del programma è ora incerto, e la comunità della cybersecurity è chiamata a reagire.

Il programma CVE, attivo da 25 anni, riveste un ruolo centrale nella gestione delle vulnerabilità. Si occupa di assegnare e organizzare codici identificativi univoci, come CVE-2014-0160 e CVE-2017-5754, associati a vulnerabilità specifiche, in questi casi rispettivamente Heartbleed di OpenSSL e Meltdown di Intel. È molto importante perché permette così a tutti, quando si fa riferimento a una falla o a una patch, di sapere esattamente di cosa si sta parlando.

Attualmente, più di 40.000 nuove vulnerabilità vengono tracciate ogni anno attraverso il programma CVE. La sola MITRE emette tra le 300 e le 600 assegnazioni ogni mese. Secondo Katie Moussouris, CEO di Luta Security e una delle figure più autorevoli nel campo del vulnerability disclosure, la fine del supporto al programma equivarrebbe a privare l’intera industria della sicurezza dell’ossigeno necessario a funzionare, secondo quanto riferisce The Register. Dustin Childs di Trend Micro ricorda i tempi precedenti all’introduzione dei CVE, quando ogni azienda utilizzava un proprio sistema di etichettatura dei bug, il che generava confusione tra clienti e fornitori.

Se il blocco dovesse protrarsi, le conseguenze più immediate ricadrebbero sulle organizzazioni che fanno affidamento su strumenti di gestione delle vulnerabilità integrati con il sistema CVE. Senza nuovi ID ufficiali, diventa complesso stabilire priorità d’intervento, aggiornare database interni o garantire la compliance con regolamenti di settore. Il rischio è che l’intera catena della sicurezza debba reinventarsi un sistema di riferimento, operazione che richiede tempo, coordinamento e risorse.