A equipe do VulnDB da Risk Based Security agregou 16.738 vulnerabilidades recém-divulgadas durante os três primeiros trimestres de 2019, que ultrapassaram o CVE / NVD em 5.970 no mesmo período.

Confiando em dados CVE/NVD

“Como a equipe do VulnDB continua monitorando as fontes de divulgação de vulnerabilidades, estamos aprimorando continuamente nossos processos à medida que trabalhamos em estreita colaboração com os clientes para entender melhor suas necessidades”, comentou Brian Martin, vice-presidente de inteligência de vulnerabilidade na segurança baseada em risco .

“As tendências apresentadas no relatório trimestral anterior continuam como de costume. No entanto, estamos começando a ver um desenvolvimento perturbador em relação às vulnerabilidades que podem representar um problema significativo para as organizações que confiam nos dados do CVE / NVD. ”

A diferença de CVE aumenta

Esse desenvolvimento é destacado no Relatório de vulnerabilidades do terceiro trimestre de 2019, que cobre vulnerabilidades divulgadas entre 1º de janeiro e 30 de setembro de 2019. Uma descoberta importante é que, das vulnerabilidades agregadas compiladas pela equipe do VulnDB, 15% das vulnerabilidades de 2019 com um ID de CVE estavam em Status RESERVADO, sem fornecer informações aos consumidores.

Além disso, há um número alarmante de vulnerabilidades que foram divulgadas sem um ID do CVE e estão ausentes no banco de dados do CVE. A análise mostra que as organizações que dependem dos dados do CVE não conseguirão ver quase 7.000 vulnerabilidades este ano.

Problemas de CVE

“Contar com pesquisadores e fornecedores para tomar a iniciativa de notificar o CVE não é um modelo que funcione a favor dos consumidores do CVE. Especialmente quando você percebe que muitas das vulnerabilidades ausentes são de gravidade alta e crítica ”, conclui Martin.

“Mesmo vulnerabilidades de alto perfil, como a exploração de dia zero do Google Chrome, relatada recentemente, ainda estão no status RESERVADO, quando uma solução foi disponibilizada há semanas. Atualizamos o VulnDB assim que as informações foram divulgadas. No entanto, apesar da urgência e existência de uma exploração pública, a CVE, em vez disso, retirou atribuições de questões divulgadas em 2012, entre outras coisas. Isso é simplesmente inaceitável para qualquer organização que exija inteligência adequada de vulnerabilidade, mas ainda dependa do CVE/NVD. ”

CVE