详细内容或原文请订阅后点击阅览
黑客欢欣鼓舞:NVD 正淹没在积压的漏洞中
3 个月没有更新对于网络犯罪分子来说是一个绝佳的机会。
来源:安全实验室新闻频道3 个月没有更新对于网络犯罪分子来说是一个绝佳的机会。
由美国国家标准与技术研究院 (NIST) 管理的全球最大的 NVD 漏洞数据库最近发生严重故障,导致未发布的漏洞数量大幅增加。
NVD NIST 发生严重错误,从 2024 年 2 月中旬开始,数据库开始出现处理新数据的问题,从 5 月 9 日开始,该服务完全停止显示新漏洞,这引起了网络安全研究人员的担忧。
所有参与的公共和私营部门专家都在尽最大努力更新三个月以来积累的大量积压工作,并尽可能填补空白。
待办事项自今年 2 月 12 日以来,NIST 只能分析 14,286 个漏洞中的 4,524 个漏洞并将其添加到其数据库中。所有这些都会对安全团队的意识产生负面影响,并为攻击者创造新的机会。
在最近的 RSA 会议上,RiskHorizon.ai 首席执行官 Emmanuel Chavoya 表示,未修补的漏洞已经被积极利用。许多公司依赖 NVD 来更新和修补软件,因此停止发布已成为一个严重的问题。
来自各公司和政府机构的员工确认,自 5 月 9 日以来,尚未通过 API 将新漏洞添加到数据库中。 NIST 发言人解释说,这些问题是由过渡到新的 CVE 数据格式 JSON 引起的。漏洞处理仍在继续,但因系统更新而暂停公开发布,该更新直到 5 月 14 日才完成。
今年 3 月,NVD 项目经理 Tanya Brewer 宣布成立一个联盟来解决这些问题,但具体细节仍不清楚。在此期间,RiskHorizon.ai 等私营公司推出了自己的平台,名为“NVD Backlog Tracker”来跟踪未修补的漏洞。
CISA 声明