- El programa CVE de MITRE estuvo a punto de suspenderse a la medianoche del 16 de abril de 2025 por el vencimiento del contrato de financiamiento con el DHS, pero CISA ejecutó el período opcional del contrato y evitó la interrupción
- Según fuentes, la extensión es de 11 meses, y CISA considera a CVE un servicio clave para la comunidad cibernética y una prioridad de la agencia
- Al confirmarse en la mañana del 16 de abril el financiamiento incremental para operar los programas CVE y CWE, se evitó la suspensión de servicio prevista
- CVE es el estándar de facto para identificar y gestionar vulnerabilidades, y es el dato base del que dependen NVD, vulnrichment de CISA, productos de proveedores de seguridad, CERT y bases de datos corporativas de vulnerabilidades
- La causa del vencimiento del contrato no está clara; si la suspensión se hubiera concretado, se habría detenido la incorporación de nuevos registros CVE y los registros existentes se habrían ofrecido vía GitHub
La extensión urgente de CISA evitó la suspensión
- El programa Common Vulnerabilities and Exposures de MITRE, es decir, el programa CVE, tenía previsto que su contrato con el DHS venciera a la medianoche del 16 de abril de 2025
- Al ejecutar CISA el período opcional del contrato, no habrá suspensión de servicio del programa CVE de MITRE
- CISA afirmó que CVE es sumamente importante para la comunidad cibernética y una prioridad de la agencia
- Su postura es que ejecutó el período opcional del contrato para que no hubiera una brecha en los servicios CVE esenciales
- Según fuentes, la extensión del contrato durará 11 meses
- Yosry Barsoum, de MITRE, afirmó que la acción del gobierno evitó la suspensión del programa CVE y de Common Weakness Enumeration, es decir, el programa CWE
- A la mañana del 16 de abril de 2025, CISA confirmó el financiamiento incremental para mantener la operación de los programas
- MITRE mantiene su postura de preservar CVE y CWE como recursos globales
El vencimiento del contrato previsto originalmente y sus consecuencias
- Al 15 de abril de 2025, MITRE informó al consejo de CVE que, si vencía el contrato con el DHS, se cortaría el financiamiento para mantener la base de datos CVE
- El vencimiento incluía el trabajo de MITRE para desarrollar, operar y modernizar el programa CVE, así como el programa relacionado CWE
- Sasha Romanosky, de Rand Corporation, evaluó que la nomenclatura CVE y la asignación por paquete de software y versión son la base del ecosistema de vulnerabilidades de software
- Sin CVE, sería difícil rastrear vulnerabilidades recién descubiertas
- También podrían verse afectadas la puntuación de severidad, la predicción de exploits y las decisiones de parcheo
- Ben Edwards, de Bitsight, evaluó que CVE es un recurso valioso que necesariamente debe recibir financiamiento, y que no renovar el contrato fue un error
- Gracias al marco federado y a la apertura de CVE, otros actores interesados podrían hacerse cargo de la operación
- Sin embargo, si cambia la entidad operadora, el proceso de transición podría ser difícil
El rol de CVE en el ecosistema de vulnerabilidades
- El programa CVE de MITRE es un pilar fundamental del ecosistema global de ciberseguridad y el estándar de facto que guía la identificación de vulnerabilidades y los programas de gestión de vulnerabilidades de los defensores
- Los datos de CVE proporcionan datos base a productos de proveedores en gestión de vulnerabilidades, inteligencia de amenazas cibernéticas, información de seguridad, gestión de eventos y detección y respuesta en endpoints
- NIST enriquece los registros CVE de MITRE con información adicional a través de la National Vulnerability Database, es decir, NVD
- CISA también ha venido enriqueciendo los registros CVE de MITRE mediante el programa vulnrichment, en respuesta a la falta de financiamiento del programa NVD
- MITRE es el autor original de los registros CVE y funciona como una fuente principal para identificar fallas de seguridad
Efectos en cadena previstos en caso de suspensión
- Brian Martin, CSO del proyecto Security Errata y exmiembro del consejo de CVE, consideraba que, si desaparecía el financiamiento de MITRE, habría efectos en cadena inmediatos en la gestión global de vulnerabilidades
- El modelo federado y las CVE Numbering Authorities, es decir, CNA, ya no podrían asignar IDs y enviar información a MITRE para su rápida publicación
- NVD se basa en CVE y ya arrastra un backlog de más de 30,000 vulnerabilidades y más de 80,000 elementos “deferred”
- “deferred” significa elementos que, con los criterios actuales, no serán analizados por completo
- Las empresas que operan sus propias bases de datos de vulnerabilidades también tendrían que buscar fuentes alternativas de inteligencia
- Podrían verse afectadas las bases de datos nacionales de vulnerabilidades, incluidas las de China y Rusia, de cientos a miles de CERT nacionales y regionales en todo el mundo, y también los programas corporativos de gestión de vulnerabilidades que dependen de CVE/NVD
Causas del fin del contrato y situación del presupuesto gubernamental
- No está claro por qué el DHS intentó terminar el contrato del programa CVE, al que financió durante 25 años
- La administración Trump ha venido recortando de forma general el gasto público, con eje en la iniciativa Department of Government Efficiency de Elon Musk
- El DHS ha financiado el programa CVE de MITRE a través de CISA, y CISA ya sufrió dos recortes de financiamiento
- Según reportes, cerca de 1,300 empleados de CISA, casi el 40% de su personal, siguen en riesgo de despido
- Una fuente señaló que, comparado con recortes presupuestarios en otras áreas del gobierno federal, el costo de operar el programa CVE es pequeño y no llega al nivel de “arruinar las finanzas”
Alternativas privadas y respuesta temporal
- Si no hubiera habido extensión del contrato, desde la medianoche del 16 de abril de 2025 MITRE tenía previsto dejar de agregar nuevos registros a la base de datos CVE
- Los registros CVE existentes iban a estar disponibles en GitHub
- Patrick Garrity, de VulnCheck, consideró que, tras el fracaso del NIST NVD el año anterior, el ecosistema de vulnerabilidades quedó debilitado, y que el impacto sobre el programa CVE podría ser perjudicial para los defensores y la comunidad de seguridad
- VulnCheck reservó de forma preventiva 1,000 CVE de 2025 ante la incertidumbre sobre qué servicios de MITRE o del programa CVE se verían afectados
- CISA afirmó que CVE es usado por el gobierno y la industria para divulgar, clasificar y compartir vulnerabilidades tecnológicas, y que también está relacionado con información sobre vulnerabilidades que podrían poner en riesgo la infraestructura crítica nacional
1 comentarios
Opiniones de Hacker News
Hay hilos en curso relacionados: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
El contrato fue extendido con MITRE: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
Probablemente sea una extensión indefinida. DOGE puede ser una colección de tontos, pero en todo el DOD también hay gente que no lo es
No sé si se dieron cuenta, pero se están moviendo con un esquema de presupuesto base cero. Primero recortan todo y solo devuelven lo que de verdad es importante. Cortan primero y preguntan después
También es importante que MITRE sea contratista del DoD. Que el programa CVE esté a cargo de una empresa financiada por el ejército de EE. UU. puede generar preocupaciones de conflicto de intereses en un ecosistema que depende de la neutralidad y la confianza global
Últimamente estoy probando agregar [fixed] al final del título original para avisar a los lectores del cambio de estado. No sé si es lo mejor, y tampoco estoy seguro de que la situación esté realmente resuelta, pero parece mejor que no hacer nada. Cambiar el artículo y el título del hilo existente podría sentirse como una traición demasiado grande
El contrato vencía hoy, pero había un período de opción hasta marzo de 2026, y DHS solo tenía que ejercer esa opción
Edición: la fecha de finalización del contrato es hoy, 16 de abril, así que si no se hubiera ejercido la opción, la ejecución se habría detenido a medianoche. En la contratación gubernamental es común que estas cosas lleguen hasta el último momento, y también es frecuente que el ejercicio de opciones se retrase. Entonces, ¿por qué este caso armó tanto escándalo? ¿CISA le habrá dado a MITRE señales de que no iba a ejercer la opción?
Ojalá esto no hubiera pasado. Me pregunto si por alguna estructura de silos dentro de DHS no llegaron a ver que las desventajas eran suficientemente grandes
No creo que ningún experto en este campo haya defendido con fuerza algo como “pueden matarlo, no hace falta”. Si les hubieran preguntado, habrían dicho con firmeza: “por favor no lo toquen, esto es necesario”
Aun así, sí parece posible que altos responsables financieros, al hacer su “propia investigación”, hayan entendido mal cómo usan otros CVE y quién lo financia
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
Y muchísimos más. Ha sido un desastre total durante meses, y a estas alturas quizá estén pensando en cambiar drásticamente el enfoque
Todo esto es una conducta criminal del régimen actual
Una coalición de integrantes del consejo de CVE lanzó la nueva CVE Foundation “para garantizar la viabilidad, estabilidad e independencia a largo plazo del Common Vulnerabilities and Exposures(CVE) Program”
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
Los proveedores de productos tienen incentivos para manipular el proceso de emisión de CVE según su propio calendario de correcciones, y las empresas de seguridad tienen incentivos para obtener acceso prioritario a la base de datos de CVE y conseguir una ventaja competitiva
No es imposible que una organización financiada con dinero comercial evite esa captura, pero tampoco es fácil. Me viene de inmediato a la mente la relación entre Mozilla Foundation y Google
Edición: pueden downvotear todo lo que quieran. Tal vez el tono fue demasiado duro y eso nubló el punto. Es interesante lo fácil que los no especialistas en seguridad caen ante nombres, citas y autoridad
La confianza no se construye de la noche a la mañana y, de hecho, nunca se construye por completo. Un profesional de seguridad informática no caería fácilmente en este atajo de la cadena de suministro con futuro incierto. Espero que no tengamos que poner a prueba esa idea pronto, pero se necesita cierto grado de confiabilidad y automatización a largo plazo. Lo que hace falta es un sistema técnico y ampliamente consensuado, no una “fundación”
La verdadera ironía es que muchos fundadores de Y Combinator y lectores de HN fueron exactamente quienes hicieron posible que pasara algo así, y ahora se preguntan por qué la serpiente se está comiendo la cola
Ellos, o al menos algunos de ellos, podrían verlo como una oportunidad de tomar control de esta función y ganar dinero. Es un flujo de ingresos recurrente, un modelo de suscripción valioso, y los clientes realmente necesitan este servicio. Si no lo necesitan, basta con crear una nueva ley que los obligue a suscribirse en nombre de la seguridad de TI
Un mundo en el que NOAA sea desmantelada y haya que pagar para recibir alertas de megahuracanes intensificados por el cambio climático. Ese mismo cambio climático fue creado por la misma codicia imprudente y sin regulación. No deberían existir los multimillonarios, pero tampoco los millonarios
¿No había también problemas grandes con la implementación de CVE actual? En especial el hecho de que script kiddies y herramientas de IA llenan la base de datos de spam, y que los proyectos que sí se toman en serio la seguridad casi no tienen voz en los “puntajes” que se les asignan
Los puntajes son en su mayoría inútiles, así que no me importaría si desaparecieran, y de hecho ni los miro. Pero tampoco entiendo muy bien por qué la gente se enoja tanto con puntajes basura
Si un puntaje CVSS alto genera mucho trabajo, entonces el proceso de gestión de vulnerabilidades está roto. O están haciendo compliance, no seguridad. Si odias el compliance, los puntajes CVSS no son la causa raíz del dolor
Una lista central de “cosas que tal vez te importen o tal vez no, con IDs estables asignados” es muy valiosa
Aun así, el problema de los puntajes no es una buena razón para quemar todo el sistema CVE
Saltar de “esto tiene fallas” a “entonces matémoslo” es una falacia lógica. Un registro de seguridad con fallas es claramente mejor que no tener ningún registro de seguridad
Si ya trabajaste con gestión de CVE en software de código abierto, probablemente ya sabías que la reducción de fondos para NVD lleva más de un año
Abril de 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
NIST mantiene la National Vulnerability Database (NVD). Es un elemento clave de la infraestructura nacional de ciberseguridad. Con el aumento del software y, en consecuencia, de las vulnerabilidades, además de cambios en el apoyo entre agencias, se está acumulando un rezago de vulnerabilidades. También se están evaluando soluciones de largo plazo, como formar un consorcio de organizaciones de la industria, el gobierno y otros actores interesados que puedan colaborar en la investigación para mejorar NVD
Septiembre de 2024, Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
“La seguridad y el manejo de vulnerabilidades en el software son cada vez más importantes. Los acontecimientos recientes han afectado negativamente la capacidad de muchos proyectos para identificar problemas y lograr que se resuelvan a tiempo. Es muy preocupante. Hasta hace poco, muchas veces dependíamos no de los datos del proyecto CVE, sino de los datos de NVD, que agregaban esa información.”
Hace 5 años, en 2019, ayudé a preparar una presentación del director de CERT de Carnegie Mellon, y ya entonces tratábamos el rezago de CVE y la falta de recursos. Una parte considerable de las vulnerabilidades reportadas ni siquiera recibía un número CVE. Desde entonces, la cola creció y los fondos bajaron, pero las visualizaciones promediaban menos de 100 al año: https://www.youtube.com/watch?v=WmC65VrnBPI
Los fondos parecen haberse cortado hoy, y ambas citas parecen decir que el trabajo continúa y que es importante
¿Quiere decir que existe algún tipo de amenaza sobre NVD desde hace más de un año? Solo quiero asegurarme de estar entendiendo bien
Dice que el volumen de vulnerabilidades de software aumentó y que a los proyectos CVE y NVD les cuesta mantenerse al día
Ojalá dejaran de esparcir spin político por este hilo
Me pregunto qué otras cosas que la mayoría ni siquiera sabe que existen, pero que son importantes para la sociedad, habrán desaparecido en silencio durante las últimas semanas
Nos enteramos de esto porque sabemos que es importante. ¿Qué cosas no sabemos?
Incluso intentando interpretarlo con la mayor buena fe posible, de verdad no se me ocurre ninguna razón no maliciosa que justifique esto
La dirigencia actual parece no entender las cosas que no son vistosas. Me pregunto cuándo harán retroceder la seguridad alimentaria. Seguro que RFK conoce algunas vitaminas que previenen la salmonela
Esto es una de las cosas que el gobierno hace por el bien público
O quieren vender sus propios puntajes de priorización de riesgos alternativos. Todas las empresas usan con gusto los datos de NVD y CVE, pero no quieren pagar un subsidio que ayude a sus competidores. Más aún en un sector tan competitivo como la ciberseguridad
MITRE Corporation hace muchas otras cosas y parece tener ingresos anuales de 2.200 millones de dólares
Empresas de billones de dólares se benefician de este sistema y también contribuyen; ¿no podrían aportar algo como el 0,01% de sus ingresos a esta pequeña parte de infraestructura crítica?
Steelmanning es un neologismo que no sirve para nada salvo como señal dentro del grupo. Ya existía un término perfectamente bueno para el mismo concepto, más sutil y con mucha más historia: “charitability”
La gran diferencia es que charitability trata de respetar al otro. Steelmanning se parece más a usar tu propia inteligencia para mejorar el argumento del otro más de lo que el otro mismo pudo
Como charitability se basa en una noción de respeto mutuo, permite preguntar por qué debería tratar con buena fe a alguien si es evidente que no me respeta en lo más mínimo. Steelmanning intenta separar a la persona del argumento y, de manera irónica, resulta arrogante e ingenuo
Causa raíz: falla de capa 8
https://www.computerhope.com/jargon/l/layer8.htm