El Instituto Nacional de Metrología de los Estados Unidos, el Instituto Nacional de Normas y Tecnología (NIST), debe dejar de proporcionar actualizaciones a decenas de miles de vulnerabilidades y exposiciones comunes (CVE) mayores que se mantienen dentro de su base de datos nacional de vulnerabilidades (NVD).
En un anuncio publicado la semana pasada, el organismo de estándares dijo que cada CVE con una fecha publicada antes del 1 de enero de 2018 ahora estaría marcada como diferida dentro del conjunto de datos NVD.
“Estamos asignando este estado a las CVE más antiguas para indicar que no planeamos priorizar la actualización de la actualización del enriquecimiento de NVD o los datos iniciales de enriquecimiento de NVD debido a la edad de la CVE”, dijo NIST en un comunicado.
El anuncio de NIST se produce cuando la organización lucha por lidiar con una acumulación de miles de CVE que deben analizarse y procesarse. En los puntos del año pasado, esta acumulación alcanzó 18,000 récords a medida que aumentaron las nuevas presentaciones en un 32%. Ha estado explorando el uso de nuevas tecnologías, incluido el aprendizaje automático, para tratar de automatizar su salida de su dilema.
Como la mayoría de las otras autoridades sobre el asunto, NIST espera que los volúmenes de sumisión de vulnerabilidad continúen aumentando en 2025.
NIST dijo que continuaría aceptando y revisando las solicitudes para actualizar los metadatos que proporciona para sus registros CVE, y si la nueva información sale a la luz que indica que una actualización de dichos datos es apropiada, “continuará priorizando” este trabajo sujeto a la disponibilidad de tiempo y recursos.
También continuará priorizando cualquier CVE agregado al catálogo de vulnerabilidad explotados de la Agencia de Seguridad Cibernética e Infraestructura (CISA), independientemente de su edad.
Tim Mackey, jefe de riesgo de la cadena de suministro de software en Black Duck, dijo: “Si bien puede ser preocupante ver los CVE más antiguos, particularmente aquellos asociados con vulnerabilidades prominentes, se clasifican a una prioridad más baja, la realidad es que la CVE permanece en el NVD con un reconocimiento de que las actualizaciones a los CVE mayores son infrecuentes.
“Para fines prácticos, vería a cualquier organización que no haya parcheado o mitigado algo ahora etiquetado como ‘diferido’ por tener una gestión de parches de bajo rendimiento o un programa de seguridad cibernética DevOps.
“Hagamos de este evento un llamado a la acción para los equipos de respuesta a incidentes de seguridad de productos para inventariar todo el software y luego transmitir todas las vulnerabilidades con un estado diferido”, dijo.
Cortes de EE. UU.
En las últimas semanas, NIST también ha sido sujeto a una serie de recortes por el Departamento de Eficiencia del Gobierno (DOGE), el nuevo organismo dirigido por Elon Musk que se ha encargado de hacer miles de despidos en todo el gobierno federal, y se entiende que planea despedir al 20% de la fuerza laboral en el padre de NIST, el departamento de Comercio.
La semana pasada, varios políticos estadounidenses presionaron al Secretario de Comercio Howard Lutnick en estos recortes y advirtieron que pueden amenazar el trabajo de NIST en el desarrollo de estándares y representar un peligro tanto para la seguridad industrial como para el consumidor, así como dañar el liderazgo estadounidense y el poder blando en el escenario global.
Según el título de la hermana de Computer Weekly Buceo de ciberseguridadCISA ha perdido al menos 170 roles a través de los recortes de Doge al Departamento de Seguridad Nacional (DHS), mientras que muchos otros empleados de la Agencia Cibernética Nacional de los Estados Unidos, que fue establecida por el presidente Trump durante su primer mandato, renunciaron en medio de la moral cratinente.