NIST NVD の混乱が止まらない：新規の CVE 追加が一時的に停止していた

NIST Confusion Continues as Cyber Pros Complain CVE Uploads Stalled

2024/05/14 InfoSecurity — 脆弱性データベースとして、世界で最も信頼されている米国の NVD (National Vulnerability Database) だが、この数ヶ月において最大の危機を迎えており、それに比例してソフトウェア脆弱性の悪用が増加している。2024年2月中旬から、米国の NIST (National Institute of Standards and Technology) が運営する NVD は、脆弱性情報の更新を遅延させてきた。そして 5月9日以降においては、新しい脆弱性の表示を停止していると、ソフトウェア・セキュリティの専門家たちが Infosecurity に語っている。

その一方で、官民のサイバー・セキュリティの専門家たちは、３ヶ月に及ぶ脆弱性のバックログを記録し、可能な限りギャップを埋めようと最善を尽くしている。

３ヶ月分の脆弱性バックログ

NVD の脆弱性情報は、2月12日から更新を遅延し始めており、 2024年に入ってから NIST に報告された 14,286件の CVE のうち、解析を終えているのは僅か 4,524件に過ぎない。

これほど多くの脆弱性が、解析待ちの状況にあるということは、それらの脆弱性を悪用する絶好の機会を、攻撃者たちが得ていることを意味する。

RiskHorizon.ai の CEO／創設者である Immanuel Chavoya は、RSA Conference で Infosecurity の取材に応じ、NVD でまだ完全に処理されていない脆弱性が、野放し状態で活発に悪用されていることを確認したと述べた。

NVD の解析速度低下の更新 – May 8, 2024. Source: Jerry Gamblin, via LinkedIn

製品のアップデートやパッチのサイクルの実行のために、NVD は数多くの企業に広く利用されてきている。

新規 CVE の追加停止

Infosecurity が多くの専門家たちに取材したところ、数日間にわたって、NVD に新しい脆弱性がアップロードされていないことが判明した。

Infosecurity は、ソフトウェア・セキュリティの専門家たちのコミュニティ内の Slack でのやりとりを入手した。彼らの間で交わされた Slack のメッセージ (政府機関内のものも含む) を分析すると、5月9日以降において、NVD の API を介した新たな CVE の追加が、停止していることに関する議論が確認できる。

セキュリティ脆弱性とエクスプロイトの情報を提供する、Web サイト Vulners の Head of Revenue である Andrey Lukashenkov は、5月9日に NVD の処理ロボットにより作成された CVE が、Vulners に追加された最後のものであることが示されていると、Infosecurity に語っている。

この問題は、ソフトウェアの脆弱性公開を理解するための研究プロジェクトである、CVE.ICU の Web サイトにも掲載されている。CVE.ICU の運営者は、Cisco の Threat Detection & Response Principal Engineer である Jerry Gamblin だ。

NVD に追加された CVE – May 13, 2024. Source: Jerry Gamblin, via CVE.ICU

その一方で、MITRE が運営する CVE プログラムは、現在も継続されている。

CVE の追加停止の原因は NVD のフォーマットの移行作業だった

Infosecurity は NIST に対して、新規の CVE の追加停止について問い合わせている。同機関の広報担当者は、その疑惑を否定し、NVD が新しい CVE JSON フォーマットに移行したことで、この問題が発生したと回答している。

NIST の広報担当者は Infosecurity に対して、「我々は、CVE の処理を停止したわけではない。ただし、新しい CVE リストデータの仕様に対応するための、システム・アップデートを進めていたことは事実だ。そのアップデート対応中に、新しい CVE の一般公開は保留されていたが、5月14日に再開した」とコメントしている。

Vulners の Lukashenkov は SNS で、「NVD は、少なくとも、自分たちが何をしようとしているのかを、すべてのユーザーに伝えることはできたはずだ」と述べている。

民間企業による NVD のバックログのギャップ解消の試み

2024年3月に開催された CVE/FIRST VulnCon 2024 で、NVD の Program Manager である Tanya Brewer は、NVD プログラムの課題に対処するためのコンソーシアムを、NIST として設立すると発表した。

しかし同カンファレンスでは、2月からの NVD の混乱の真相については、明かされなかった。5月14日の時点では、コンソーシアムは正式に発足しておらず、NVD の Web サイトからも、その言及が削除されている。

その一方で、Nucleus の Patrik Garrity や RiskHorizon の Immanuel Chavoya などのソフトウェア・セキュリティ専門家たちは、脆弱性のバックログを把握するために、未解析の脆弱性の数に関する定期的な最新情報を公開している。

その一方で、脆弱性分析のギャップ解消を試みている企業もある。たとえば RiskHorizon.ai は、NVD が未処理の脆弱性をカバーするための、可視化プラットフォームである “NVD Backlog Tracker” を立ち上げている。

RisHorizon.ai の NVD Backlog Tracker プラットフォーム Source: RiskHorizon.ai

同社 CEO である Chavoya は、RSA Conference 2024 の期間中に、「当社のデータ・ファブリックが、ディープ・ウェブやダーク・ウェブから脅威のテレメトリを取り込み、AI を搭載したソリューションが、それらのデータを分析する。そうすることで、すべてのバックログ脆弱性を取り込み、脆弱性の深刻度／PoC の有無／積極的な悪用の判定／悪用する脅威アクターの特定といった、重要なメタデータをユーザーに通知できた」と Infosecurity に語っている。

Chavoya によると、現時点において RiskHorizon.ai は、バックログとされる脆弱性の 85％をカバーしているという。

その他の民間企業のセキュリティ研究者たちも、新しい CVE を公表する試みを強化している。Trend Micro の Zero Day Initiative は、5月5日に 709件のユニークな CVE を公開した。

また、VulnCheck は、技術的な問題に直面している NVD プログラムのもう１つの要素である、NVD API に代わるものとして、無料の VulnCheck NVD++ をリリースしている。

NVD を救う CISA

5月8日に、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性情報を充実させるための、Vulnrichment という新たなプログラムの開始を発表した。

CISA によると、同プログラムは、Common Platform Enumeration (CPE) 番号／Common Vulnerability Scoring System (CVSS)スコア、Common Weakness Enumeration (CWE)ネームタグ／Known Exploited Vulnerabilities (KEV) エントリなどのメタデータを、CVE に追加することに重点を置いたものだという。

CISA は、1300 件の CVE をエンリッチ化し、すべての提出された CVE に関する情報が充実するよう作業を進めていると述べた。同機関は、すべての CVE 番号付与機関 (CNA：CVE Numbering Authorities) に対して、CVE.org に最初に提出する際に、完全な CVE を提供するよう求めている。

Vulnrichment の開始と同日に、MITRE が発表したのは、同社が運営する CVE プログラムでは、新しい CNA 運用ルールが承認され、2024年8月8日から適用されることだ。NVD のバックログ・ギャップを埋めるための、このような取り組みは、サイバー・セキュリティ・コミュニティに歓迎されている。

しかし RiskHorizon.ai の Chavoya は、「これらは持続可能な取り組みではなく、一時的な対策に過ぎない。つまり、脆弱性開示プロセス全体を更新し、自動化された報告を普及させる必要がある」と、Infosecurity に述べている。

Nucleus の Garrity も同意見である。彼は、「自動化を進めることには賛成だが、その作業は NVD レベルではなく、CVE レベルでダイレクトに行われるべきだと思う」と述べている。

NIST の NVD ですが、いったい、どうなってしまうのでしょうか？この件に関連する記事は、今回で７本目となりますが、事態が好転しているわけでもなく、フラストレーションが溜まるという状況です。よろしければ、以下のバックナンバーを、ご参照ください。

2024/05/08：CISA の Vulnrichment：NVD が残したギャップを埋める
2024/04/16：NIST NVD：専門家たちが運用再開の支援を米議会に要請
2024/04/03：CVE と NVD：脆弱性の正規の情報源は分断されている？
2024/03/15：NIST NVD の障害：メタデータが提供されていない
2024/03/22：NIST の脆弱性データベースの凍結
2024/03/28：NIST NVD の新たなコンソーシアム設立が決定

M	T	W	T	F	S	S
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31