Base de datos nacional sobre vulnerabilidad

Repositorio de datos del gobierno estadounidense

La Base de datos nacional de vulnerabilidades ( NVD ) es el repositorio del gobierno de los EE. UU. de datos de gestión de vulnerabilidades basados ​​en estándares representados mediante el Protocolo de automatización de contenido de seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento. NVD incluye bases de datos de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. NVD respalda el Programa de automatización de seguridad de la información (ISAP). NVD está administrado por la agencia del gobierno de los EE. UU., el Instituto Nacional de Estándares y Tecnología (NIST).

El viernes 8 de marzo de 2013, la base de datos fue desconectada después de que se descubrió que el sistema utilizado para ejecutar varios sitios gubernamentales había sido comprometido por una vulnerabilidad de software de Adobe ColdFusion . ^{[1] [2]}

En junio de 2017, la empresa de inteligencia de amenazas Recorded Future reveló que el retraso medio entre la revelación de una CVE y su publicación final en el NVD es de 7 días y que el 75 % de las vulnerabilidades se publican de manera no oficial antes de llegar al NVD, lo que les da tiempo a los atacantes para explotar la vulnerabilidad. ^[3]

Además de proporcionar una lista de vulnerabilidades y exposiciones comunes (CVE), el NVD puntúa las vulnerabilidades utilizando el Sistema de puntuación de vulnerabilidades comunes (CVSS) ^[4] , que se basa en un conjunto de ecuaciones que utilizan métricas como la complejidad del acceso y la disponibilidad de una solución. ^[5]

En agosto de 2023, el NVD marcó inicialmente un error de desbordamiento de enteros en versiones antiguas de cURL como una vulnerabilidad crítica de 9,8 sobre 10. El desarrollador principal de cURL, Daniel Stenberg, respondió diciendo que no se trataba de un problema de seguridad, que el error había sido parcheado casi 4 años antes, solicitó que se rechazara el CVE y acusó al NVD de "infundir miedo" e "inflar enormemente el nivel de gravedad de los problemas". ^[6] MITRE no estuvo de acuerdo con Stenberg y denegó su solicitud de rechazar el CVE, señalando que "hay una debilidad válida... que puede conducir a un impacto válido en la seguridad". ^[7] En septiembre de 2023, el NVD volvió a calificar el problema como una vulnerabilidad "baja" de 3,3, afirmando que "puede (en teoría) causar una denegación de servicio" para los sistemas atacados, pero que este vector de ataque "no es especialmente plausible". ^[8]

Véase también

• Enumeración de debilidades comunes
• Vulnerabilidades y exposiciones comunes
• Análisis de la composición del software

Referencias

1. a las 17:55, Jack Clark en San Francisco el 14 de marzo de 2013. "El catálogo de vulnerabilidades de EE. UU. caído está infectado durante al menos DOS MESES". www.theregister.co.uk . Consultado el 29 de octubre de 2019 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
2. "La base de datos nacional de vulnerabilidades de EE.UU. fue hackeada".
3. "El 75 % de las vulnerabilidades se compartieron en línea antes de la publicación de NVD". Dark Reading . 7 de junio de 2017 . Consultado el 29 de octubre de 2019 .
4. Zhang, Su; Ou, Xinming; Caragea, Doina (31 de diciembre de 2015). "Predicción de riesgos cibernéticos a través de la base de datos de vulnerabilidad nacional". Revista de seguridad de la información: una perspectiva global . 24 (4–6): 194–206. doi :10.1080/19393555.2015.1111961. ISSN  1939-3555. S2CID  30587194.
5. "NVD - Ecuaciones CVSS v2". nvd.nist.gov . Archivado desde el original el 21 de diciembre de 2013.
6. Stenberg, Daniel (26 de agosto de 2023). "CVE-2020-19909 es todo lo que está mal con los CVE". Blog de Daniel Stenberg . Consultado el 26 de agosto de 2023 .
7. "curl - Informe falso presentado por un usuario anónimo - CVE-2020-19909". curl.se . Consultado el 31 de agosto de 2023 .
8. "NVD - CVE-2020-19909". nvd.nist.gov . Archivado desde el original el 2023-09-05 . Consultado el 2023-09-07 .

Enlaces externos

• Sitio web oficial
• Protocolo de automatización de contenido de seguridad (SCAP)
• Tormenta de paquetes
• Base de datos de exploits
• Base de datos de contenido de seguridad