2 puntos por GN⁺ 2025-04-17 | 1 comentarios | Compartir por WhatsApp
  • El programa CVE de MITRE estuvo a punto de suspenderse a la medianoche del 16 de abril de 2025 por el vencimiento del contrato de financiamiento con el DHS, pero CISA ejecutó el período opcional del contrato y evitó la interrupción
  • Según fuentes, la extensión es de 11 meses, y CISA considera a CVE un servicio clave para la comunidad cibernética y una prioridad de la agencia
  • Al confirmarse en la mañana del 16 de abril el financiamiento incremental para operar los programas CVE y CWE, se evitó la suspensión de servicio prevista
  • CVE es el estándar de facto para identificar y gestionar vulnerabilidades, y es el dato base del que dependen NVD, vulnrichment de CISA, productos de proveedores de seguridad, CERT y bases de datos corporativas de vulnerabilidades
  • La causa del vencimiento del contrato no está clara; si la suspensión se hubiera concretado, se habría detenido la incorporación de nuevos registros CVE y los registros existentes se habrían ofrecido vía GitHub

La extensión urgente de CISA evitó la suspensión

  • El programa Common Vulnerabilities and Exposures de MITRE, es decir, el programa CVE, tenía previsto que su contrato con el DHS venciera a la medianoche del 16 de abril de 2025
  • Al ejecutar CISA el período opcional del contrato, no habrá suspensión de servicio del programa CVE de MITRE
    • CISA afirmó que CVE es sumamente importante para la comunidad cibernética y una prioridad de la agencia
    • Su postura es que ejecutó el período opcional del contrato para que no hubiera una brecha en los servicios CVE esenciales
    • Según fuentes, la extensión del contrato durará 11 meses
  • Yosry Barsoum, de MITRE, afirmó que la acción del gobierno evitó la suspensión del programa CVE y de Common Weakness Enumeration, es decir, el programa CWE
    • A la mañana del 16 de abril de 2025, CISA confirmó el financiamiento incremental para mantener la operación de los programas
    • MITRE mantiene su postura de preservar CVE y CWE como recursos globales

El vencimiento del contrato previsto originalmente y sus consecuencias

  • Al 15 de abril de 2025, MITRE informó al consejo de CVE que, si vencía el contrato con el DHS, se cortaría el financiamiento para mantener la base de datos CVE
  • El vencimiento incluía el trabajo de MITRE para desarrollar, operar y modernizar el programa CVE, así como el programa relacionado CWE
  • Sasha Romanosky, de Rand Corporation, evaluó que la nomenclatura CVE y la asignación por paquete de software y versión son la base del ecosistema de vulnerabilidades de software
    • Sin CVE, sería difícil rastrear vulnerabilidades recién descubiertas
    • También podrían verse afectadas la puntuación de severidad, la predicción de exploits y las decisiones de parcheo
  • Ben Edwards, de Bitsight, evaluó que CVE es un recurso valioso que necesariamente debe recibir financiamiento, y que no renovar el contrato fue un error
    • Gracias al marco federado y a la apertura de CVE, otros actores interesados podrían hacerse cargo de la operación
    • Sin embargo, si cambia la entidad operadora, el proceso de transición podría ser difícil

El rol de CVE en el ecosistema de vulnerabilidades

  • El programa CVE de MITRE es un pilar fundamental del ecosistema global de ciberseguridad y el estándar de facto que guía la identificación de vulnerabilidades y los programas de gestión de vulnerabilidades de los defensores
  • Los datos de CVE proporcionan datos base a productos de proveedores en gestión de vulnerabilidades, inteligencia de amenazas cibernéticas, información de seguridad, gestión de eventos y detección y respuesta en endpoints
  • NIST enriquece los registros CVE de MITRE con información adicional a través de la National Vulnerability Database, es decir, NVD
  • CISA también ha venido enriqueciendo los registros CVE de MITRE mediante el programa vulnrichment, en respuesta a la falta de financiamiento del programa NVD
  • MITRE es el autor original de los registros CVE y funciona como una fuente principal para identificar fallas de seguridad

Efectos en cadena previstos en caso de suspensión

  • Brian Martin, CSO del proyecto Security Errata y exmiembro del consejo de CVE, consideraba que, si desaparecía el financiamiento de MITRE, habría efectos en cadena inmediatos en la gestión global de vulnerabilidades
  • El modelo federado y las CVE Numbering Authorities, es decir, CNA, ya no podrían asignar IDs y enviar información a MITRE para su rápida publicación
  • NVD se basa en CVE y ya arrastra un backlog de más de 30,000 vulnerabilidades y más de 80,000 elementos “deferred”
    • “deferred” significa elementos que, con los criterios actuales, no serán analizados por completo
  • Las empresas que operan sus propias bases de datos de vulnerabilidades también tendrían que buscar fuentes alternativas de inteligencia
  • Podrían verse afectadas las bases de datos nacionales de vulnerabilidades, incluidas las de China y Rusia, de cientos a miles de CERT nacionales y regionales en todo el mundo, y también los programas corporativos de gestión de vulnerabilidades que dependen de CVE/NVD

Causas del fin del contrato y situación del presupuesto gubernamental

  • No está claro por qué el DHS intentó terminar el contrato del programa CVE, al que financió durante 25 años
  • La administración Trump ha venido recortando de forma general el gasto público, con eje en la iniciativa Department of Government Efficiency de Elon Musk
  • El DHS ha financiado el programa CVE de MITRE a través de CISA, y CISA ya sufrió dos recortes de financiamiento
  • Según reportes, cerca de 1,300 empleados de CISA, casi el 40% de su personal, siguen en riesgo de despido
  • Una fuente señaló que, comparado con recortes presupuestarios en otras áreas del gobierno federal, el costo de operar el programa CVE es pequeño y no llega al nivel de “arruinar las finanzas”

Alternativas privadas y respuesta temporal

  • Si no hubiera habido extensión del contrato, desde la medianoche del 16 de abril de 2025 MITRE tenía previsto dejar de agregar nuevos registros a la base de datos CVE
  • Los registros CVE existentes iban a estar disponibles en GitHub
  • Patrick Garrity, de VulnCheck, consideró que, tras el fracaso del NIST NVD el año anterior, el ecosistema de vulnerabilidades quedó debilitado, y que el impacto sobre el programa CVE podría ser perjudicial para los defensores y la comunidad de seguridad
  • VulnCheck reservó de forma preventiva 1,000 CVE de 2025 ante la incertidumbre sobre qué servicios de MITRE o del programa CVE se verían afectados
  • CISA afirmó que CVE es usado por el gobierno y la industria para divulgar, clasificar y compartir vulnerabilidades tecnológicas, y que también está relacionado con información sobre vulnerabilidades que podrían poner en riesgo la infraestructura crítica nacional

1 comentarios

 
GN⁺ 2025-04-17
Opiniones de Hacker News
  • Hay hilos en curso relacionados: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • El contrato fue extendido con MITRE: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    Probablemente sea una extensión indefinida. DOGE puede ser una colección de tontos, pero en todo el DOD también hay gente que no lo es

    • Mi suposición es que el próximo año se irán retirando por etapas. El objetivo de largo plazo parece ser convertir el programa CVE en algo más cercano a un consorcio liderado por la industria
      No sé si se dieron cuenta, pero se están moviendo con un esquema de presupuesto base cero. Primero recortan todo y solo devuelven lo que de verdad es importante. Cortan primero y preguntan después
      También es importante que MITRE sea contratista del DoD. Que el programa CVE esté a cargo de una empresa financiada por el ejército de EE. UU. puede generar preocupaciones de conflicto de intereses en un ecosistema que depende de la neutralidad y la confianza global
    • Siempre es complicado decidir qué hacer con un hilo basado en un artículo que ya fue reemplazado por acontecimientos posteriores. Uno piensa en abrir un hilo nuevo con el nuevo artículo, pero como acaba de haber una gran discusión y la noticia de que “se arregló” parece menos interesante que el estímulo original, normalmente no sube mucho
      Últimamente estoy probando agregar [fixed] al final del título original para avisar a los lectores del cambio de estado. No sé si es lo mejor, y tampoco estoy seguro de que la situación esté realmente resuelta, pero parece mejor que no hacer nada. Cambiar el artículo y el título del hilo existente podría sentirse como una traición demasiado grande
    • Parece que todavía no aparece en FPDS: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      El contrato vencía hoy, pero había un período de opción hasta marzo de 2026, y DHS solo tenía que ejercer esa opción
      Edición: la fecha de finalización del contrato es hoy, 16 de abril, así que si no se hubiera ejercido la opción, la ejecución se habría detenido a medianoche. En la contratación gubernamental es común que estas cosas lleguen hasta el último momento, y también es frecuente que el ejercicio de opciones se retrase. Entonces, ¿por qué este caso armó tanto escándalo? ¿CISA le habrá dado a MITRE señales de que no iba a ejercer la opción?
    • El artículo dice que “no está claro por qué, después de 25 años, DHS decidió terminar el contrato”, pero de repente lo extendieron. No sé qué tiene que ver esto con DOGE
  • Ojalá esto no hubiera pasado. Me pregunto si por alguna estructura de silos dentro de DHS no llegaron a ver que las desventajas eran suficientemente grandes
    No creo que ningún experto en este campo haya defendido con fuerza algo como “pueden matarlo, no hace falta”. Si les hubieran preguntado, habrían dicho con firmeza: “por favor no lo toquen, esto es necesario”
    Aun así, sí parece posible que altos responsables financieros, al hacer su “propia investigación”, hayan entendido mal cómo usan otros CVE y quién lo financia

  • Una coalición de integrantes del consejo de CVE lanzó la nueva CVE Foundation “para garantizar la viabilidad, estabilidad e independencia a largo plazo del Common Vulnerabilities and Exposures(CVE) Program”
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • Un consorcio así debe evitar explícitamente quedar capturado tanto por proveedores de productos como por empresas de seguridad
      Los proveedores de productos tienen incentivos para manipular el proceso de emisión de CVE según su propio calendario de correcciones, y las empresas de seguridad tienen incentivos para obtener acceso prioritario a la base de datos de CVE y conseguir una ventaja competitiva
      No es imposible que una organización financiada con dinero comercial evite esa captura, pero tampoco es fácil. Me viene de inmediato a la mente la relación entre Mozilla Foundation y Google
    • ¿Entonces, si el gobierno corta el financiamiento, van a seguir haciendo esto gratis?
    • Esto huele más a un intento apresurado de habilitar phishing de vulnerabilidades que a un avance real. Lo publicó alguien que dirige una startup de seguridad, y el sitio también es un Google Site que la gente puede denunciar a Google como estafa
      Edición: pueden downvotear todo lo que quieran. Tal vez el tono fue demasiado duro y eso nubló el punto. Es interesante lo fácil que los no especialistas en seguridad caen ante nombres, citas y autoridad
      La confianza no se construye de la noche a la mañana y, de hecho, nunca se construye por completo. Un profesional de seguridad informática no caería fácilmente en este atajo de la cadena de suministro con futuro incierto. Espero que no tengamos que poner a prueba esa idea pronto, pero se necesita cierto grado de confiabilidad y automatización a largo plazo. Lo que hace falta es un sistema técnico y ampliamente consensuado, no una “fundación”
  • La verdadera ironía es que muchos fundadores de Y Combinator y lectores de HN fueron exactamente quienes hicieron posible que pasara algo así, y ahora se preguntan por qué la serpiente se está comiendo la cola

    • Tal vez esto era lo que querían. Porque podría ser parte de la privatización de muchas funciones del gobierno
      Ellos, o al menos algunos de ellos, podrían verlo como una oportunidad de tomar control de esta función y ganar dinero. Es un flujo de ingresos recurrente, un modelo de suscripción valioso, y los clientes realmente necesitan este servicio. Si no lo necesitan, basta con crear una nueva ley que los obligue a suscribirse en nombre de la seguridad de TI
    • El faltante de fondos es de aproximadamente 2 millones de dólares. Cualquier empresa estadounidense podría hacer desaparecer este problema en un instante
    • Exacto. Espero que Y Combinator y sus partidarios puedan vivir felices en su tierra de fantasía ancap
      Un mundo en el que NOAA sea desmantelada y haya que pagar para recibir alertas de megahuracanes intensificados por el cambio climático. Ese mismo cambio climático fue creado por la misma codicia imprudente y sin regulación. No deberían existir los multimillonarios, pero tampoco los millonarios
  • ¿No había también problemas grandes con la implementación de CVE actual? En especial el hecho de que script kiddies y herramientas de IA llenan la base de datos de spam, y que los proyectos que sí se toman en serio la seguridad casi no tienen voz en los “puntajes” que se les asignan

    • Como alguien que consume CVE activamente: sí, hay problemas grandes. Pero tampoco hay algo mejor, ni una mejor idea
      Los puntajes son en su mayoría inútiles, así que no me importaría si desaparecieran, y de hecho ni los miro. Pero tampoco entiendo muy bien por qué la gente se enoja tanto con puntajes basura
      Si un puntaje CVSS alto genera mucho trabajo, entonces el proceso de gestión de vulnerabilidades está roto. O están haciendo compliance, no seguridad. Si odias el compliance, los puntajes CVSS no son la causa raíz del dolor
      Una lista central de “cosas que tal vez te importen o tal vez no, con IDs estables asignados” es muy valiosa
    • Aparece de la nada una vulnerabilidad crítica con puntaje 9.8, aunque en mi entorno tenga impacto 0. Por ese CVE, el Security Score de la organización baja arbitrariamente 10 puntos, y la gerencia pregunta cuándo vamos a volver a hacer segura la empresa, porque el Security Score es el único entregable tangible para medir el éxito
    • Los puntajes nunca estuvieron pensados para ser tan exactos en todos los entornos de cada quien. No sé cuánto dependían de ellos en otros lugares, pero en los lugares donde trabajé no dependían mucho
      Aun así, el problema de los puntajes no es una buena razón para quemar todo el sistema CVE
    • Nunca he visto a alguien correr un escáner de CVE sobre su propio código y no hartarse rápidamente
    • Por supuesto que la implementación actual de CVE tiene problemas. Si el título hubiera sido “DHS propone mejorar y simplificar el programa CVE”, probablemente todos habrían aplaudido
      Saltar de “esto tiene fallas” a “entonces matémoslo” es una falacia lógica. Un registro de seguridad con fallas es claramente mejor que no tener ningún registro de seguridad
  • Si ya trabajaste con gestión de CVE en software de código abierto, probablemente ya sabías que la reducción de fondos para NVD lleva más de un año
    Abril de 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NIST mantiene la National Vulnerability Database (NVD). Es un elemento clave de la infraestructura nacional de ciberseguridad. Con el aumento del software y, en consecuencia, de las vulnerabilidades, además de cambios en el apoyo entre agencias, se está acumulando un rezago de vulnerabilidades. También se están evaluando soluciones de largo plazo, como formar un consorcio de organizaciones de la industria, el gobierno y otros actores interesados que puedan colaborar en la investigación para mejorar NVD
    Septiembre de 2024, Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    “La seguridad y el manejo de vulnerabilidades en el software son cada vez más importantes. Los acontecimientos recientes han afectado negativamente la capacidad de muchos proyectos para identificar problemas y lograr que se resuelvan a tiempo. Es muy preocupante. Hasta hace poco, muchas veces dependíamos no de los datos del proyecto CVE, sino de los datos de NVD, que agregaban esa información.”
    Hace 5 años, en 2019, ayudé a preparar una presentación del director de CERT de Carnegie Mellon, y ya entonces tratábamos el rezago de CVE y la falta de recursos. Una parte considerable de las vulnerabilidades reportadas ni siquiera recibía un número CVE. Desde entonces, la cola creció y los fondos bajaron, pero las visualizaciones promediaban menos de 100 al año: https://www.youtube.com/watch?v=WmC65VrnBPI

    • Ese texto no ayudó y fue confuso. Si la interrupción de fondos repentina de hoy es algo distinto de los recortes de fondos anteriores, sería bueno editarlo para dejarlo claro, o escribirlo así en adelante
    • Me pregunto qué es exactamente lo que lleva más de un año
      Los fondos parecen haberse cortado hoy, y ambas citas parecen decir que el trabajo continúa y que es importante
      ¿Quiere decir que existe algún tipo de amenaza sobre NVD desde hace más de un año? Solo quiero asegurarme de estar entendiendo bien
    • Ese texto no menciona recortes de fondos
      Dice que el volumen de vulnerabilidades de software aumentó y que a los proyectos CVE y NVD les cuesta mantenerse al día
      Ojalá dejaran de esparcir spin político por este hilo
    • Veo este tipo de comentario en cada publicación de HN que puede interpretarse de forma negativa para la administración actual. Una afirmación falsa ambigua seguida de una explicación que no coincide con los hechos, o de citas que no respaldan esa afirmación
  • Me pregunto qué otras cosas que la mayoría ni siquiera sabe que existen, pero que son importantes para la sociedad, habrán desaparecido en silencio durante las últimas semanas
    Nos enteramos de esto porque sabemos que es importante. ¿Qué cosas no sabemos?

    • A quienes lo apoyaban no les importa. La relativa estabilidad y calidad de vida de los estadounidenses está sostenida por instituciones que apenas entienden o de las que ni siquiera han oído hablar. Tal vez haya que dejarlos tocar la estufa caliente por su cuenta
    • En https://www.project2025.observer/ aparecen algunas. Claro que esas son solo las instituciones que la gente de Trump conoce y quiere destruir explícitamente, pero sirve como punto de partida
  • Incluso intentando interpretarlo con la mayor buena fe posible, de verdad no se me ocurre ninguna razón no maliciosa que justifique esto

    • Creo que es ignorancia y arrogancia. EE. UU. parece ir camino a perder su liderazgo tecnológico y científico
      La dirigencia actual parece no entender las cosas que no son vistosas. Me pregunto cuándo harán retroceder la seguridad alimentaria. Seguro que RFK conoce algunas vitaminas que previenen la salmonela
    • Es increíblemente estúpido. Sea cual sea la justificación, no importa tanto como las consecuencias terribles
      Esto es una de las cosas que el gobierno hace por el bien público
    • Es la tragedia de los comunes. NVD y el proyecto CVE llevan años con problemas de rezago y financiamiento, y la mayoría de las empresas de seguridad no tienen mucho interés en entregar información de vulnerabilidades a tiempo, porque eso podría reducir su ventaja comparativa
      O quieren vender sus propios puntajes de priorización de riesgos alternativos. Todas las empresas usan con gusto los datos de NVD y CVE, pero no quieren pagar un subsidio que ayude a sus competidores. Más aún en un sector tan competitivo como la ciberseguridad
    • La razón podría ser reducir el gasto público. Por lo que veo, no parece ser una organización gubernamental propiamente dicha, así que otras organizaciones podrían financiarla. También me pregunto cuánto cuesta esta organización al año
      MITRE Corporation hace muchas otras cosas y parece tener ingresos anuales de 2.200 millones de dólares
      Empresas de billones de dólares se benefician de este sistema y también contribuyen; ¿no podrían aportar algo como el 0,01% de sus ingresos a esta pequeña parte de infraestructura crítica?
    • Es un tema que personalmente me molesta, pero por eso creo que el steelmanning es contraproducente
      Steelmanning es un neologismo que no sirve para nada salvo como señal dentro del grupo. Ya existía un término perfectamente bueno para el mismo concepto, más sutil y con mucha más historia: “charitability”
      La gran diferencia es que charitability trata de respetar al otro. Steelmanning se parece más a usar tu propia inteligencia para mejorar el argumento del otro más de lo que el otro mismo pudo
      Como charitability se basa en una noción de respeto mutuo, permite preguntar por qué debería tratar con buena fe a alguien si es evidente que no me respeta en lo más mínimo. Steelmanning intenta separar a la persona del argumento y, de manera irónica, resulta arrogante e ingenuo
  • Causa raíz: falla de capa 8
    https://www.computerhope.com/jargon/l/layer8.htm