Vanaf woensdag gaat de Common Vulnerabilities and Exposures-database op zwart. De nonprofit MITRE Corporation moet noodgedwongen een streep trekken door verreweg de meest gebruikte catalogus aan kwetsbaarheden. Er komt niet zomaar een alternatief.
De reden voor het offline gaan van de CVE-database is dat de financiering vanaf vandaag ophoudt. Dat blijkt uit een e-mail die onder meer Reuters heeft gezien. Het Amerikaanse ministerie van Binnenlandse Zaken (DHS), waaronder de Cybersecurity and Infrastructure Security Agency (CISA) valt, heeft bevestigd dat het contract voor deze database is afgelopen.
Enorme gevolgen
De oorzaak lijkt voor de hand liggend: de vergaande campagne om kosten te besparen onder de U.S. DOGE Service, geleid door Elon Musk. De gevolgen zijn enorm, aangezien de MITRE-database geldt als de gouden standaard voor het classificeren en bijhouden van kwetsbaarheden. Zo benadrukt Huntress-onderzoeker John Hammond dat de securitywereld hiermee “de taal en het jargon” verliest om problemen aan te kaarten. Hij zei gevloekt te hebben toen hij het nieuws zag.
Ook Dustin Childs, hoofd van threat awareness bij Trend Micro’s Zero Day Initiative is negatief gestemd. Tegenover The Register stelt hij dat de gevolgen belabberd zullen zijn. Zo was er vóór de opkomst van MITRE’s database een verwarrend speelveld aan verschillende vaktermen en classificaties. Vanaf 1999, toen de CVE-database begon, werd de CVE ingeburgerd als standaard voor het refereren aan kwetsbaarheden.
Andere betalers?
Het voornaamste probleem bij deze gang van zaken is de plotselinge aard ervan. MITRE bevestigde (of kon pas bevestigen) een dag voordat het contract afliep dat de eigen CVE-database in de penarie zat. Er is hierdoor geen tijd om een alternatieve database of een alternatieve financiering te regelen, iets dat anderszins best reëel is.
Het CVE Program blijft in ieder geval als historisch document beschikbaar via GitHub. De vraag is echter hoe lang het duurt voordat er een opvolger voor de database ontstaat. Vermoedelijk zal deze dezelfde terminologie blijven hanteren als voorheen. Het is namelijk al zo dat de CVE-database helemaal niet zo Amerikaans is als het lijkt. Hoewel de overheid te Washington er (zo blijkt andermaal) zeggenschap over heeft, is de inhoud van de MITRE-informatie een gevolg van internationale samenwerking. The Register telde al enkele honderden partners uit 40 landen die de database vullen.
Het zou mogelijk moeten zijn om een privaat alternatief te bedenken. Techbedrijven zouden zichzelf een dienst bewijzen door een financieel steentje bij te dragen hieraan, aangezien het veelal hun oplossingen zijn die door de CVE-database bij de les gehouden worden.
Wat ook werk zal kosten, is de integratie van een alternatieve CVE-database. Immers vertrouwen systeemadministrateurs en securitybedrijven op de door MITRE geleverde informatie, met name om bepaalde kwetsbaarheden te prioriteren. In een securitylandschap waarin dreigingen toenemen (en AI aanvallers bijstaat) zijn afgezwakte Computer Emergency Response Teams (CERT’s) allesbehalve gewenst.
Beluister ook onze Techzine Talks-aflevering over de hack die vorig jaar op MITRE plaatsvond: