Ce este CVE și de ce contează atât de mult în securitatea cibernetică?
Programul Common Vulnerabilities and Exposures (CVE®) este unul dintre pilonii fundamentali ai securității cibernetice globale. CVE oferă un sistem standardizat de identificare și catalogare a vulnerabilităților descoperite în software-uri, servicii și infrastructuri IT. Fără el, soluțiile de tip SIEM, EDR, patch management sau threat intelligence ar funcționa... pe bâjbâite.
Ce s-a întâmplat acum?
Pe 15 aprilie 2025, a fost scurs un document intern semnat de Yosry Barsoum, Vicepreședinte MITRE, care confirma că contractul MITRE pentru dezvoltarea și întreținerea CVE expiră oficial pe 16 aprilie 2025. Confirmarea oficială a venit și din partea MITRE, într-un răspuns trimis publicației Cyber Security News.
Acest contract include și alte componente esențiale precum:
- CWE – Common Weakness Enumeration
- Suportul pentru modernizarea infrastructurii de raportare
- Actualizarea bazei de date la formatul JSON
- Extinderea spre vulnerabilități de tip serviciu, nu doar software clasic
Ce înseamnă această întrerupere pentru industrie?
Dacă nu se prelungește contractul, pot apărea consecințe grave:
- Încetinirea înregistrării CVE-urilor – ceea ce duce la întârzierea patch-urilor de securitate.
- Impact asupra vendorilor care depind de CVE-uri pentru a prioritiza și automatiza procesele de răspuns.
- Riscuri directe pentru infrastructuri critice care se bazează pe aceste date pentru protecție activă.
- Disfuncționalități în tool-urile de Threat Intelligence, SIEM și EDR, care consumă datele CVE.
Ce spune MITRE?
“Guvernul continuă să facă eforturi considerabile pentru a susține rolul MITRE în program. MITRE rămâne dedicat CVE ca resursă globală.”
Cu alte cuvinte, este posibil ca activitatea să continue în viitorul apropiat, dar fără o finanțare garantată, totul e nesigur.
De ce este îngrijorătoare această schimbare?
Programul CVE este piatra de temelie pentru o industrie estimată la peste 37 de miliarde de dolari. Orice întrerupere poate crea:
- Confuzie în rândul furnizorilor
- Lipsă de încredere în actualitatea vulnerabilităților raportate
- O oportunitate pentru actorii malițioși să exploateze fereastra de haos
Ce urmează?
Rămâne de văzut dacă:
- Guvernul SUA va prelungi rapid contractul cu MITRE
- Va apărea un nou operator pentru programul CVE
- Comunitatea open-source va trebui să acopere golul
Concluzie
Suntem într-un moment critic pentru securitatea cibernetică globală. CVE este mai mult decât o simplă bază de date – este sistemul imunitar al internetului modern. Monitorizează cu atenție evoluțiile din zilele următoare.
Ce poți face tu ca profesionist în securitate?
- Fii vigilent la noi CVE-uri publicate, chiar dacă vor exista întârzieri
- Utilizează surse alternative ca ExploitDB, NVD, CERT-uri regionale
- Pregătește-ți infrastructura pentru eventuale întârzieri în actualizările automate