Addio Programma CVE: da oggi 16 aprile a rischio la gestione globale delle vulnerabilità informatiche

Il Common Vulnerabilities and Exposures (CVE) Program, da oltre 25 anni fondamento dell’ecosistema globale della sicurezza informatica, si trova oggi in una posizione di estrema incertezza. Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha infatti annunciato la cessazione di ogni finanziamento al programma CVE a partire dal 16 aprile 2025. Così, il futuro della gestione standardizzata delle vulnerabilità informatiche appare compromesso.

Il CVE Program: cos’è e come funziona

Lanciato nel 1999 e gestito dall’organizzazione senza scopo di lucro MITRE Corporation, il CVE Program ha permesso negli anni la classificazione univoca e pubblica di oltre 275.000 vulnerabilità note, offrendo un modello di riferimento condiviso da vendor, ricercatori, enti governativi e infrastrutture critiche. L’attribuzione di un identificativo CVE univoco consente infatti la comunicazione coerente e la correlazione incrociata delle vulnerabilità tra prodotti, report, bollettini di sicurezza e strumenti di difesa.

Avrete infatti certamente notato che quando si parla di lacune di sicurezza e di patch correttive, si fa continuamente riferimento a identificativi che iniziano con la sigla CVE. Ecco, quell’indicazione CVE fa proprio riferimento al database delle vulnerabilità gestito da MITRE.

Un sistema centrale per l’ecosistema di sicurezza

L’importanza del programma non risiede unicamente nel suo database centralizzato, ma nella sua funzione sistemica: CVE è integrato in molteplici standard e strumenti (NVD, CWE, CVSS, SIEM, scanner di vulnerabilità, IDS/IPS) e ne rappresenta il punto di riferimento. Senza di esso, il rischio è quello di scivolare in una configurazione frammentata per ciò che riguarda il processo di gestione delle vulnerabilità, con implicazioni su:

• Tempestività delle patch
• Correlazione degli exploit
• Comunicazione tra fornitori e utenti

Il nodo del finanziamento: MITRE, DHS e i tagli a CISA

In una comunicazione interna trapelata alla vigilia della scadenza del contratto, MITRE ha confermato che, salvo nuovi accordi, il programma CVE (e altri correlati) non potrà proseguire oltre il 16 aprile 2025. Il direttore del MITRE Center for Homeland Security, Yosry Barsoum, ha dichiarato che l’organizzazione dipende interamente da fondi federali per mantenere attivi questi programmi.

Alla base della crisi vi sono le recenti ristrutturazioni contrattuali e tagli di bilancio della Cybersecurity and Infrastructure Security Agency (CISA), l’agenzia federale incaricata della difesa delle infrastrutture critiche. Secondo fonti ben informate, molti contratti precedentemente in essere non sono stati rinnovati, colpendo direttamente anche MITRE e il CVE Program.

CVE: un sistema imperfetto diventato una colonna portante

La gestione delle vulnerabilità e la pubblicazione dei bollettini nel database CVE non è esente da lacune. L’autore di curl, Daniel Stenberg, sulla scia di altre contestazioni, aveva a suo tempo aspramente criticato la classificazione di una vulnerabilità inesistente nel suo software.

Eppure, al netto delle imperfezioni, CVE resta una colonna portante per la sicurezza informatica a livello globale. La chiusura del programma può portare a situazioni difficili da gestire.

La potenziale interruzione del CVE Program lascia aperti diversi scenari: senza un’autorità centrale di assegnazione degli ID CVE, i fornitori e i ricercatori potrebbero creare sistemi paralleli e non interoperabili. Potrebbero quindi proliferare database alternativi sotto l’egida dei privati, basati su modelli non completamente trasparenti.

L’Unione Europea o altri blocchi geopolitici potrebbero sviluppare framework alternativi, frammentando ulteriormente l’ecosistema.

In ogni caso, in assenza di un sistema unificato, la scoperta e la condivisione tempestiva delle vulnerabilità potrebbe rallentare sensibilmente, con impatti diretti su tempi di risposta, gestione delle patch e rilevamento delle minacce.