Az Egyesült Államok kormánya leállít egy kiberbiztonság szempontjából létfontosságú programot. Ezt követően radikálisan megnőhet a kibertámadások száma.

2025. április 16-án lejár a Common Vulnerabilities and Exposures (CVE) program, valamint a kapcsolódó kezdeményezések – például a Common Weakness Enumeration (CWE) – hivatalos finanszírozása. A hírt a MITRE Corporation erősítette meg, mely eddig kulcsszerepet töltött be ezen programok működtetésében és fejlesztésében, az infót pedig a RavenForTech Linkedinjén láttuk.

A CVE-adatbázis a kiberbiztonsági ökoszisztéma egyik alappillére: ez a de facto globális szabvány a sérülékenységek egységes azonosítására, rendszerezésére és közzétételére. Nélküle a biztonsági szakemberek, szoftverfejlesztők, gyártók és kormányzati szereplők számára jelentősen nehezebb lenne a sebezhetőségek kezelése és a megelőző intézkedések meghozatala.

Mi történt pontosan?

A MITRE a CVE és CWE programokat az Egyesült Államok Belbiztonsági Minisztériuma (DHS) megbízásából működtette egy évenként megújított szövetségi szerződés keretében. Ez a szerződés azonban idén lejár, és egyelőre nincs megerősített információ arról, hogy a kormányzat hosszabbít-e.

A szerződés részletei nyilvánosan elérhetők a USAspending.gov adatbázisában.

Mi várható?

Amennyiben nem történik gyors beavatkozás, a CVE-adatbázis működése megszakadhat, ami komoly fennakadásokat okozhat a sebezhetőségek azonosításában és közzétételében. Ez növeli a kiberbiztonsági kockázatokat, hiszen a még nem javított rendszerek hosszabb ideig maradhatnak védtelenek a támadásokkal szemben.

Yosry Barsoum, a MITRE Homeland Security Központjának alelnöke úgy fogalmazott:

„2025. április 16-án lejár a MITRE finanszírozása a Common Vulnerabilities and Exposures (CVE®) program és a kapcsolódó kezdeményezések – például a Common Weakness Enumeration (CWE™) program – fejlesztésére, működtetésére és modernizálására. A kormány továbbra is jelentős erőfeszítéseket tesz a MITRE szerepének fenntartására a programban, és a MITRE továbbra is elkötelezett a CVE mint globális erőforrás mellett.”

Ideiglenes megoldás és elérhetőség

A MITRE közleménye szerint a már meglévő CVE-adatok ideiglenesen elérhetőek maradnak a GitHubon:
👉 https://github.com/CVEProject

Az ügy először egy kiszivárgott, a CVE testület tagjaihoz intézett levél révén került napvilágra, amelyet az X közösségi oldalon tettek közzé:
🔗 https://x.com/0xtib3rius/status/1912195160416338031

Miért számít ez?

A CVE nemcsak egy adatbázis – ez egy alapinfrastruktúra, amely a teljes kiberbiztonsági ökoszisztéma működését támogatja. Hiánya vagy akadozása láncreakciót indíthat el, lelassítva a javítási folyamatokat, megnehezítve a fenyegetések kezelését, és akár megnövelve a sikeres kibertámadások számát.

A szakmai közösség, a kormányzat és a technológiai szektor részéről egyaránt gyors, összehangolt lépésekre van szükség annak érdekében, hogy a CVE és kapcsolódó programjai fenntartható jövőt kapjanak.

A Biztonság rovat partnere a RavenForTech