Prodotti e Servizi PRODOTTI & SERVIZI

Oltre il controllo di una sola nazione: ripensare la gestione dei CVE

Un tentativo (quasi riuscito) di taglio ai finanziamenti mette in luce la necessità di un modello migliore
Scritto da
24 Aprile 2025
Products & Services CVE featured MITRE threat research

A volte non ci si rende conto di quanto ci manchi qualcosa finché non la perdiamo (o quasi). Questo è certamente il caso della notizia di martedì, secondo la quale la MITRE Corporation non avrebbe ricevuto i fondi necessari per continuare a gestire il programma Common Vulnerabilities and Exposures (CVE) a partire da aprile.

Fortunatamente, la Cybersecurity Infrastructure Security Agency (CISA) è intervenuta e ha prorogato il contratto per altri 11 mesi, dando alla comunità il tempo di definire finanziamenti e governance alternativi per garantire il futuro del programma. E’ improbabile che si torni al sistema di assegnazione dei CVE finanziato dagli Stati Uniti e gestito dal MITRE che il settore conosce da un quarto di secolo; quindi, è meglio affrontare la questione ora e trovare una soluzione per il futuro.

Che cos’è il programma CVE?

Simile al popolare MITRE ATT&CK, il programma CVE stabilisce un linguaggio comune per la comunità della sicurezza che consenta di comunicare in modo standardizzato in merito alle vulnerabilità, creando una sorta di lingua franca. In questo modo si garantisce che tutti parlino della stessa falla e, se necessario, che si possa distinguere tra vulnerabilità simili.

Il monitoraggio delle vulnerabilità è di fondamentale importanza per ogni funzione legata alla sicurezza, come la gestione della superficie d’attacco, i sistemi di prevenzione delle intrusioni e la creazione di controlli e mitigazioni compensative laddove non è sempre possibile applicare le patch. Sophos utilizza internamente i CVE in vari modi, tra cui:

  • Identificazione e prioritizzazione delle vulnerabilità;
  • Creazione di regole di rilevamento che mirano in modo efficiente a specifici indicatori di compromissione.
  • Definizione delle priorità delle protezioni per il patrimonio di Sophos, inclusa la valutazione dell’impatto potenziale e delle conseguenze di un exploit di una vulnerabilità e/o delle patch necessarie per risolverla.
  • Guida dei molteplici processi di Sophos (compresa la risposta agli incidenti) per mantenere le attività di contenimento e rimedio in parallelo tra i team di Security Operations e Incident Response.
  • Facilitazione della comunicazione con i fornitori e i clienti, incluso il lavoro del Patch Tuesday;
  • In qualità di CNA (CVE Numbering Authority – di cui si parlerà tra poco).

Cosa significano i numeri?

I CVE sono emessi dalle CVE Numbering Authorities (CNA). Spesso si tratta di fornitori di software, tra cui Sophos, che li emettono per identificare le vulnerabilità dei propri prodotti e informano il MITRE dell’assegnazione di ciascun numero. In alternativa, i CVE possono essere assegnati dai CERT (Computer Emergency Response Teams, generalmente esistenti a livello nazionale), o dal CNA-LR – il CNA di ultima istanza, che al momento è la MITRE Corporation. (Il nome “MITRE” non è un acronimo di nulla, nonostante le origini dell’azienda presso il MIT).

I CVE possono essere rilasciati per qualsiasi vulnerabilità del software, anche se il fornitore del prodotto non partecipa al programma CNA. Di solito sono indicati come CVE-YYYY-NNNN, dove YYYY è l’anno e NNNN è il numero. Non vengono emessi in modo strettamente sequenziale, quindi il numero è semplicemente un identificatore unico, non un contatore delle vulnerabilità riscontrate. (Il sistema di numerazione non è perfetto; ai grandi emittenti di CNA vengono assegnati blocchi di numeri per motivi di praticità, quindi, di tanto in tanto, si verificano degli “scarti” nei numeri tra un blocco e l’altro e, a volte, due CVE vengono assegnati a vulnerabilità che si rivelano essere la stessa cosa).

Le CVE stesse non sono prive di controversie, poiché si discute sempre su cosa si intenda per “vulnerabilità del software” e spesso può essere difficile capire se una determinata falla sia sfruttabile quando un componente software vulnerabile viene utilizzato in un progetto più ampio. (Questo è un argomento per un potenziale post futuro, in cui potremo parlare di ciò che accade quando una CVE rimane invischiata nelle Software Bills of Material (SBOM) e in altri tentativi benintenzionati di governance).

Cosa accadrebbe in un mondo senza CVE?

Vi confonde mai il fatto che gli stessi aggressori noti come APT29 sono anche noti come IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524 e Midnight Blizzard? Benvenuti in un mondo in cui tutti descriviamo qualcosa in modo pratico per noi stessi, ma in maniera assolutamente scoordinata. Questo vale anche per i nomi dei malware, soprattutto in passato: basta dare un’occhiata all’elenco dei rilevamenti su Virus Total. Non è bello.

Avere un’autorità centralizzata che “nomini” e descriva in modo univoco le vulnerabilità e fornisca il risultato in un formato leggibile da una macchina consente sia alle persone che agli strumenti di affrontare gli stessi problemi di fondo senza ambiguità. Tuttavia, ci sono stati problemi con il National Vulnerability Database (NVD), gestito dal National Institute of Science and Technology (NIST), e l’interruzione del sistema CVE potrebbe rendere ancora più difficile per i difensori monitorare e proteggere efficacemente i sistemi vulnerabili.

Un futuro migliore

Ora, a causa del dramma che ha interessato i finanziamenti del Programma CVE questa settimana, siamo arrivati a un bivio. Ci sono tre possibili strade da percorrere, ma non è ancora chiaro quale, se mai una ci sarà, otterrà il consenso.

Per i prossimi 11 mesi (la durata dell’assegnazione dei fondi annunciata mercoledì) potremmo naturalmente procedere con le normali attività. Il governo statunitense, in un modo o nell’altro, ha finanziato il programma CVE per 25 anni. Il settore potrebbe tirare un sospiro di sollievo e pensare che il finanziamento continuerà, ma ciò sembra improbabile e poco lungimirante. Un sistema di tale importanza per il pianeta intero però non dovrebbe dipendere da un solo governo. A dimostrarlo è l’allarme finanziamenti di questa settimana.

Esiste un percorso alternativo. I membri del consiglio di amministrazione, attivi da tempo nel programma CVE, hanno sviluppato un piano per trasferire la sua governance a una fondazione no-profit indipendente dal governo degli Stati Uniti. La Fondazione CVE sarebbe più internazionale e avrebbe finanziamenti indipendenti per le proprie operazioni. Questo è probabilmente l’approccio migliore, anche se molti dei membri del consiglio di amministrazione del CVE continuerebbero a essere orientati verso gli USA. Fonti di finanziamento diverse, combinate con un consiglio di amministrazione con una mentalità più globale, darebbero probabilmente vita a un sistema più stabile e affidabile, anche se con più burocrazia e con un diverso equilibrio tra influenze pubblico-privato.

La terza soluzione è stata proposta dal CIRCL (Computer Incident Response Center Luxembourg), un CERT di tipo sopra citato. Conosciuto come GCVE, propone un sistema decentralizzato per l’emissione e la gestione dei CVE. La proposta presenta molti spunti interessanti, tra cui la compatibilità con le versioni precedenti, ma probabilmente crea anche altri problemi. A volte è necessario un insieme comune di definizioni e un organismo che le faccia rispettare. Permettere linee guida variabili per ogni CNA sembra una ricetta per il disastro e la confusione. Nell’ambito del sistema CVE esistente, abbiamo una coerenza che non può piacere a tutti, ma si tratta di un insieme di regole che sappiamo funzionare.

Conclusione

Il programma CVE, come qualsiasi sistema creato da un comitato, è imperfetto. Tuttavia, è il meno difettoso che siamo stati in grado di sviluppare ed è guidato da un gruppo di esperti del settore che conoscono davvero il problema e vogliono ottenere i migliori risultati possibili. Sarebbe terribile gettare alle ortiche tutto quello che abbiamo imparato.

Dovremmo tutti sostenere una versione più indipendente dal punto di vista finanziario e più rappresentativa a livello internazionale di quella attuale. La balcanizzazione di questo spazio, come hanno tentato di fare Russia e Cina, si tradurrebbe in una comunità meno informata e più orientata verso gli aggressori che i difensori.

Il programma CVE ci ha servito così bene fino ad ora che la maggior parte di noi lo ha dato per scontato e ha pensato che sarebbe sempre esistito. I volontari del CVE Board sono figure di settore rispettate e hanno perfezionato e migliorato questo sistema per 25 anni; noi potremmo avere il privilegio di vederlo funzionare e continuare a migliorare per i prossimi 25.

Ringraziamenti

Si ringrazia Darshan Raghwani per aver contribuito alla stesura di questo articolo.

 

L’autore

Chester Wisniewski is Director, Global Field CTO at next-generation security leader Sophos. With more than 25 years of security experience, his interest in security and privacy first peaked while learning to hack from bulletin board text files in the 1980s, and has since been a lifelong pursuit. 

Chester works with Sophos X-Ops researchers around the world to understand the latest trends, research and criminal behaviors. This perspective helps advance the industry's understanding of evolving threats, attacker behaviors and effective security defenses. Having worked in product management and sales engineering roles earlier in his career, this knowledge enables him to help organizations design enterprise-scale defense strategies and consult on security planning with some of the largest global brands.

Based in Vancouver, Chester regularly speaks at industry events, including RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston, and Calgary) and others. He’s widely recognized as one of the industry’s top security researchers and is regularly consulted by press, appearing on BBC News, ABC, NBC, Bloomberg, Washington Post, CBC, NPR, and more.

When not busy fighting cybercrime, Chester spends his free time cooking, cycling, and mentoring new entrants to the security field through his volunteer work with InfoSec BC. Chester is available on Mastodon (securitycafe.ca/@chetwisniewski).

For press inquiries, email chesterw [AT] sophos [.] com.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *