مؤسسه ملی استانداردها و فناوری (NIST) اعلام کردهاست که از این پس، تمامی CVEهایی که پیش از 1 ژانویه 2018 منتشر شدهاند، در پایگاه داده ملی آسیبپذیریها (NVD) با وضعیت “درانتظار” (Deferred) علامتگذاری خواهند شد. این تغییرات طی روزهای آینده اعمال خواهند شد تا نشان دهند کدام شناسههای CVE در پایگاه داده ملی آسیبپذیریها در اولویت قرار دارند.
NVD یک مخزن اطلاعات است که دادههای مربوط به نقصهای امنیتی در محصولات نرمافزاری و سختافزاری را که با عنوان CVE شناخته میشوند، در اختیار کاربران قرار میدهد. از این پس، CVEهای مشمول این تصمیم، یک بنر هشدار با وضعیت “deferred” در صفحه جزئیات خود خواهند داشت.NIST این اقدام را به منظور اعلام این موضوع انجام دادهاست که به دلیل قدیمی بودن این CVEها، قصد اولویتبندی در بروزرسانی و تکمیل دادههای NVD مربوط به آنها را ندارد.
NIST در اطلاعیه خود اعلام کردهاست که همچنان درخواستهای مربوط به بروزرسانی متادیتاهای ارائهشده برای این CVEها را دریافت و بررسی خواهد کرد. چنانچه اطلاعات جدیدی در دسترس قرار گیرد که بهوضوح نشان دهد بروزرسانی دادههای تکمیلی NVD برای یک CVE خاص ضروری است، آن درخواستها در صورت امکان و با توجه به منابع موجود، در اولویت قرار میگیرند.
با توجه به افزایش تعداد آسیبپذیریها طی سالهای اخیر، به نظر میرسد NIST به دنبال راهکاری برای سازماندهی و اولویتبندی آسیبپذیریهای جدیدتر و آنهایی است که در صورت عدم رسیدگی، تهدیدات بیشتری ایجاد میکنند.
سال گذشته، NIST برنامهای را برای رسیدگی به انباشته شدن هزاران آسیبپذیری در صف بررسی و تحلیل در NVD اعلام کرده بود. با این حال، کاهش نیروهای این سازمان در دوران دولت ترامپ میتواند اجرای این برنامه و کاهش این حجم عقبماندگی را با مشکل مواجه کند.
در ادامه این تصمیم، NIST اعلام کرده بود که با دریافت بودجه جدید، عقد قرارداد با یک پیمانکار شخص ثالث و همکاری با آژانس CISA، قصد دارد فرآیند پردازش آسیبپذیریها در پایگاه داده ملی آسیبپذیریها (NVD) را از سر بگیرد و تا پایان سال مالی گذشته (۳۰ سپتامبر 2024) عقبماندگیهای ایجادشده را کاهش دهد.
این مشکلات به دلیل افزایش چشمگیر تعداد CVEها و کاهش منابع انسانی از اواسط فوریه ۲۰۲۴ به وجود آمده بود. NIST همچنین اعلام کرده بود پس از بازگشت به ظرفیت کامل، در همکاری با جامعه امنیت سایبری و هیئت CVE، استانداردها را بازنگری و فرآیندها را به سمت خودکارسازی بیشتر هدایت خواهد کرد. در همین راستا، CISA نیز پروژهای با نام Vulnrichment راهاندازی کرد که به غنیسازی متادیتای آسیبپذیریها کمک میکند و میتواند در کنار اقدامات NIST، به تسریع فرآیند تحلیل و امتیازدهی CVEها کمک کند.
توصیه امنیتی
توماس ریچاردز، مدیر بخش امنیت زیرساخت در شرکت Black Duck، در بیانیهای گفتهاست که اقدام به تعیین وضعیت معلق برای CVEهای قدیمی، به هیچ عنوان از میزان اهمیت یا شدت این آسیبپذیریها کم نمیکند و نباید این برداشت شود که سازمانها میتوانند آنها را نادیده بگیرند. سازمانها باید همچنان نسبت به پچکردن و رفع آسیبپذیریهای موجود در شبکه خود اقدام کنند.
