- O programa CVE da MITRE quase foi interrompido à meia-noite de 16 de abril de 2025 devido ao vencimento do contrato de financiamento com o DHS, mas a CISA acionou o período opcional do contrato para evitar uma lacuna
- Segundo fontes, a extensão é de 11 meses, e a CISA considera o CVE um serviço essencial para a comunidade cibernética e uma prioridade da agência
- O financiamento incremental para operar os programas CVE e CWE foi confirmado na manhã de 16 de abril, evitando a interrupção de serviço que estava prevista
- O CVE é o padrão de fato para identificação e gestão de vulnerabilidades e serve como dado fundamental do qual dependem o NVD, o vulnrichment da CISA, produtos de fornecedores de segurança, CERTs e bancos de dados corporativos de vulnerabilidades
- A causa do vencimento do contrato não está clara e, se a interrupção tivesse ocorrido, a inclusão de novos registros CVE seria paralisada e os registros existentes seriam disponibilizados via GitHub
Interrupção evitada com extensão emergencial da CISA
- O Common Vulnerabilities and Exposures da MITRE, ou programa CVE, tinha contrato com o DHS previsto para expirar à meia-noite de 16 de abril de 2025
- Como a CISA acionou o período opcional do contrato, a interrupção de serviço do programa CVE da MITRE não ocorrerá
- A CISA afirmou que o CVE é muito importante para a comunidade cibernética e uma prioridade da agência
- A posição da agência é que acionou o período opcional do contrato para que não houvesse lacunas nos serviços essenciais do CVE
- Segundo fontes, a extensão contratual dura 11 meses
- Yosry Barsoum, da MITRE, afirmou que a ação do governo evitou a interrupção do programa CVE e do Common Weakness Enumeration, ou programa CWE
- Na manhã de 16 de abril de 2025, a CISA confirmou financiamento incremental para manter a operação dos programas
- A MITRE mantém a posição de preservar o CVE e o CWE como recursos globais
O vencimento contratual originalmente previsto e seus impactos
- Em 15 de abril de 2025, a MITRE informou ao conselho do CVE que, se o contrato com o DHS expirasse, o financiamento para manter o banco de dados CVE seria interrompido
- Entre os itens afetados pelo vencimento estavam o trabalho da MITRE de desenvolver, operar e modernizar o programa CVE, além do programa relacionado, o CWE
- Sasha Romanosky, da Rand Corporation, avaliou que a nomenclatura CVE e a atribuição por pacote e versão de software são a base do ecossistema de vulnerabilidades de software
- Sem o CVE, ficaria mais difícil rastrear vulnerabilidades recém-descobertas
- A pontuação de severidade, a previsão de exploits e as decisões de aplicar correções também poderiam ser afetadas
- Ben Edwards, da Bitsight, avaliou que o CVE é um recurso valioso que precisa necessariamente de financiamento, e que a não renovação do contrato foi um erro
- Graças ao framework federado e à abertura do CVE, outros stakeholders até poderiam assumir a operação
- Ainda assim, uma mudança de operador pode tornar a transição difícil
O papel do CVE no ecossistema de vulnerabilidades
- O programa CVE da MITRE é um pilar fundamental do ecossistema global de cibersegurança e o padrão de fato para identificação de vulnerabilidades e orientação de programas de gestão de vulnerabilidades dos defensores
- Os dados do CVE fornecem dados de base para produtos de fornecedores nas áreas de gestão de vulnerabilidades, inteligência de ameaças cibernéticas, informações de segurança, gerenciamento de eventos e detecção e resposta de endpoint
- O NIST complementa os registros CVE da MITRE com informações adicionais por meio do National Vulnerability Database, ou NVD
- A CISA também vem complementando os registros CVE da MITRE com o programa vulnrichment, em resposta à falta de recursos do programa NVD
- A MITRE é a autora original dos registros CVE e atua como fonte principal para identificação de falhas de segurança
Efeitos em cadeia esperados em caso de interrupção
- Brian Martin, CSO do projeto Security Errata e ex-membro do conselho do CVE, considera que, se o financiamento da MITRE desaparecesse, haveria um efeito cascata imediato na gestão global de vulnerabilidades
- O modelo federado e as CVE Numbering Authorities, ou CNAs, não conseguiriam mais atribuir IDs e enviar informações à MITRE para divulgação rápida
- O NVD é baseado no CVE e já carrega um backlog de mais de 30.000 vulnerabilidades e mais de 80.000 itens marcados como “deferred”
- “deferred” significa itens que, no estado atual, não serão analisados por completo
- Empresas que operam seus próprios bancos de dados de vulnerabilidades também teriam de buscar fontes alternativas de inteligência
- Bancos de dados nacionais de vulnerabilidades, inclusive de países como China e Rússia, centenas ou milhares de CERTs nacionais e regionais ao redor do mundo, e até programas corporativos de gestão de vulnerabilidades que dependem de CVE/NVD poderiam ser afetados
Motivo do fim do contrato e situação do orçamento do governo
- Não está claro por que o DHS tentou encerrar o contrato do programa CVE, que recebeu financiamento por 25 anos
- O governo Trump vem cortando gastos públicos de forma ampla, com foco na iniciativa Department of Government Efficiency de Elon Musk
- O DHS vinha financiando o programa CVE da MITRE por meio da CISA, e a própria CISA já passou por dois cortes de verba
- Segundo reportagens, quase 40% dos funcionários da CISA, cerca de 1.300 pessoas, ainda estão na mira de demissões
- Uma fonte afirmou que, em comparação com cortes orçamentários em outras partes do governo federal, o custo de operar o programa CVE é pequeno e não chegaria a “quebrar as finanças”
Alternativas privadas e resposta temporária
- Se a extensão contratual não tivesse ocorrido, a partir da meia-noite de 16 de abril de 2025 a MITRE deixaria de adicionar novos registros ao banco de dados CVE
- Os registros CVE existentes seriam disponibilizados no GitHub
- Patrick Garrity, da VulnCheck, avalia que o ecossistema de vulnerabilidades ficou fragilizado após o fracasso do NIST NVD no ano anterior, e que um impacto sobre o programa CVE poderia ser prejudicial para defensores e para a comunidade de segurança
- Diante da incerteza sobre quais serviços da MITRE ou do programa CVE poderiam ser afetados, a VulnCheck reservou preventivamente 1.000 CVEs de 2025
- A CISA afirmou que o CVE é usado por governo e indústria para divulgar, classificar e compartilhar vulnerabilidades técnicas, além de estar relacionado a informações sobre falhas que podem colocar em risco infraestruturas críticas nacionais
1 comentários
Opiniões no Hacker News
Há threads em andamento relacionadas: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
O contrato foi prorrogado com a MITRE: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
Provavelmente será uma prorrogação por tempo indeterminado. O DOGE pode ser um bando de idiotas, mas no DOD como um todo há pessoas que não são idiotas
Não sei se você percebeu, mas eles operam no modelo de orçamento base zero. Cortam tudo primeiro e depois trazem de volta só o que é realmente importante. Primeiro cortam, depois fazem perguntas
Também é importante o fato de a MITRE ser uma contratada do DoD. Ter o programa CVE administrado por uma empresa financiada pelo Exército dos EUA pode gerar preocupações de conflito de interesses em um ecossistema que depende de neutralidade e confiança global
Ultimamente estou tentando acrescentar [fixed] ao fim do título original para informar aos leitores a mudança de status. Não sei se é a melhor solução, e nem tenho certeza de que a situação esteja realmente resolvida, mas parece melhor do que não fazer nada. Mudar a notícia e o título da thread existente pode parecer uma rasteira grande demais
O contrato expirava hoje, mas havia um período de opção até março de 2026, e o DHS só precisava exercer essa opção
Correção: a data de término do contrato é hoje, 16 de abril, então, se a opção não tivesse sido exercida, a execução teria parado à meia-noite de hoje. Contratos governamentais frequentemente vão até o último minuto assim, e o exercício de opções muitas vezes atrasa. Mas por que só este caso virou esse alvoroço todo? Será que a CISA sinalizou à MITRE que não exerceria a opção?
Eu queria que isso não tivesse acontecido. Fico curioso para saber que tipo de estrutura em silos dentro do DHS fez com que não enxergassem que as desvantagens eram grandes o suficiente
Não acho que nenhum especialista da área teria defendido com força algo como “pode matar isso, não é necessário”. Se tivessem perguntado, teriam dito com firmeza: “por favor, não mexa nisso, isso é necessário”
Ainda assim, parece possível que altos responsáveis financeiros, ao fazerem uma “investigação própria”, tenham entendido errado como outras pessoas usam CVE e quem financia isso
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
E muito mais. Foi um desastre completo durante meses, e talvez, a esta altura, a ideia seja mudar radicalmente a abordagem
Tudo isso é uma conduta criminosa do regime atual
Uma coalizão de integrantes do conselho do CVE lançou a nova CVE Foundation “para garantir a sobrevivência, a estabilidade e a independência de longo prazo do Common Vulnerabilities and Exposures (CVE) Program”
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
Fornecedores de produtos têm incentivo para manipular o processo de emissão de CVEs de acordo com seu próprio cronograma de correção, e empresas de segurança têm incentivo para obter acesso prioritário ao banco de dados de CVEs e ganhar vantagem competitiva
Não é impossível uma organização financiada comercialmente evitar esse tipo de captura, mas também não é fácil. A relação entre a Mozilla Foundation e o Google vem imediatamente à mente
Edit: podem dar downvote à vontade. Talvez o jeito como falei tenha sido agressivo demais e tenha obscurecido o ponto. É interessante ver como pessoas que não são especialistas em segurança caem facilmente por nomes, citações e autoridade
Confiança não surge da noite para o dia e, na verdade, nunca surge por completo. Um profissional de segurança da informação não cairia facilmente nesse tipo de desvio da cadeia de suprimentos com futuro incerto. Espero que não precisemos testar essa ideia tão cedo, mas algum nível de confiabilidade e automação de longo prazo é necessário. O que é necessário é um sistema técnico e amplamente consensual, não uma “fundação”
A verdadeira ironia é que muitos fundadores da Y Combinator e leitores do HN estavam exatamente do lado que tornou esse tipo de coisa possível, e agora se perguntam por que a cobra está comendo o próprio rabo
Eles, ou pelo menos alguns deles, podem ver uma oportunidade de assumir essa função e ganhar dinheiro. É um fluxo de receita recorrente, um modelo de assinatura valioso, e os clientes realmente precisam desse serviço. Se não precisarem, basta criar uma nova lei que obrigue a assinatura em nome da segurança de TI
Um mundo em que a NOAA é desmontada e você precisa pagar para receber alertas de mega-furacões intensificados pela mudança climática. Mudança climática essa causada pela mesma ganância imprudente e sem regulamentação. Bilionários não deveriam existir, mas milionários também não
A implementação do CVE atual também não tinha grandes problemas? Especialmente o fato de script kiddies e ferramentas de IA encherem o banco de dados de spam, e de projetos que levam segurança a sério terem quase nenhuma voz sobre as “pontuações” que lhes são atribuídas
As pontuações são em grande parte inúteis; eu não me importaria se desaparecessem, e na prática nem as consulto. Só não entendo muito bem por que as pessoas ficam tão irritadas com pontuações ruins
Se uma pontuação CVSS alta gera muito trabalho, eu diria que seu processo de gestão de vulnerabilidades está quebrado. Ou então você não está fazendo segurança, está fazendo compliance. Se você odeia compliance, a pontuação CVSS não é a causa raiz do sofrimento
Uma lista central que reúne IDs estáveis para “coisas com as quais você pode ou não se importar” é extremamente valiosa
Ainda assim, o problema das pontuações não é um bom motivo para incendiar todo o sistema CVE
Saltar de “isso tem falhas” para “então vamos matá-lo” é uma falácia lógica. Um registro de segurança com falhas é claramente melhor do que não ter registro de segurança nenhum
Se você já lidou com gestão de CVEs em software open source, provavelmente já sabe que a redução de financiamento do NVD vem acontecendo há mais de um ano
Abril de 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
O NIST mantém o National Vulnerability Database (NVD). Ele é um elemento central da infraestrutura nacional de cibersegurança. Com o aumento do software e, consequentemente, das vulnerabilidades, além de mudanças no apoio entre agências, o acúmulo de vulnerabilidades vem crescendo. Também estão sendo avaliadas soluções de longo prazo, como a formação de um consórcio de organizações da indústria, do governo e de outras partes interessadas que possam colaborar em pesquisas para melhorar o NVD
Setembro de 2024, Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
“Segurança e tratamento de vulnerabilidades em software estão se tornando cada vez mais importantes. Acontecimentos recentes prejudicaram a capacidade de muitos projetos de identificar problemas e garantir que sejam resolvidos a tempo. Isso é muito preocupante. Até recentemente, muitas vezes dependíamos não dos dados do projeto CVE, mas dos dados do NVD, que acrescentavam informações a eles.”
Há 5 anos, em 2019, ajudei a preparar uma apresentação do diretor do CERT da Carnegie Mellon, e na época também tratamos do acúmulo de CVEs e da falta de recursos. Uma parcela significativa das vulnerabilidades reportadas nem sequer recebe um número CVE. Desde então, a fila aumentou e o financiamento diminuiu, mas as visualizações eram inferiores a 100 por ano, em média: https://www.youtube.com/watch?v=WmC65VrnBPI
O financiamento parece ter sido cortado hoje, e as duas citações parecem dizer que o trabalho continua e que ele é importante
A ideia é que algum tipo de ameaça ao NVD existe há mais de um ano? Só quero confirmar se entendi corretamente
Ele diz que o volume de vulnerabilidades de software aumentou, dificultando que os projetos CVE e NVD acompanhem o ritmo
Eu gostaria que parassem de espalhar spin político nesta thread
Fico me perguntando que outras coisas importantes para a sociedade, mas cuja existência a maioria das pessoas nem conhece, desapareceram silenciosamente nas últimas semanas
Ficamos sabendo deste caso porque sabemos que ele é importante. Quais são as coisas que não sabemos?
Mesmo tentando interpretar da forma mais generosa possível, realmente não consigo imaginar um motivo não malicioso que justifique isso
A liderança atual parece não entender as coisas que não são chamativas. Fico me perguntando quando vão começar a retroceder na segurança alimentar. O RFK deve conhecer algumas vitaminas que previnem salmonela
Isso é uma das coisas que o governo faz pelo interesse público
Ou elas querem vender suas próprias pontuações de priorização de risco alternativas. Todas as empresas usam de bom grado os dados do NVD e do CVE, mas não querem pagar um subsídio que ajude concorrentes. Especialmente em um setor tão competitivo quanto o de cibersegurança
A MITRE Corporation faz muitas outras coisas e aparentemente tem receita anual de US$ 2,2 bilhões
Empresas de trilhões de dólares se beneficiam desse sistema e também contribuem para ele; será que não poderiam destinar algo como 0,01% de sua receita a essa pequena parte de uma infraestrutura crítica?
Steelmanning é um neologismo que não serve para nada além de sinalização dentro do grupo. Já existia um termo perfeitamente bom para o mesmo conceito, mais sutil e com uma história mais rica: “charitability”
A grande diferença é que charitability tem a ver com respeitar o outro. Steelmanning é mais como usar a própria inteligência para tornar o argumento do outro melhor do que ele mesmo o fez
Como charitability se baseia na ideia de respeito mútuo, é possível perguntar por que eu deveria agir de boa-fé quando fica evidente que alguém não tem o menor respeito por mim. Steelmanning tenta separar a pessoa do argumento e, ironicamente, é ao mesmo tempo arrogante e ingênuo
Causa raiz: falha na camada 8
https://www.computerhope.com/jargon/l/layer8.htm