CVEs: Mehr und bessere Infos zu Schwachstellen von der CISA

Inhaltsverzeichnis

Wer beruflich mit Sicherheitslücken zu tun hat, kommt an der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) kaum vorbei. Die US-Behörde reichert dort die Mutter aller Schwachstellendatenbanken, die Common Vulnerabilities and Exposures (CVEs) der MITRE Corporation, mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails.

Diese Zusatzinformationen werden jetzt deutlich ausgebaut und die Akteure wollen dabei das mit Problemen kämpfende System gründlich renovieren. Denn das NIST kommt mit dem Anreichern der NVD-Neuzugänge nicht hinterher; seit Mitte Februar sorgt ein massiver Rückstau liegengebliebener CVE-Einträge für Unmut in der Security-Community. Zwar enthalten die von den zuständigen CVE Numbering Authorities (CNAs) veröffentlichten Einträge häufig schon einige Details wie etwa CVSS-Scores, die den Schweregrad der Bedrohung angeben. In den allermeisten Fällen fehlen jedoch wichtige Metadaten, auf deren zügige Verfügbarkeit etwa Sicherheitsprodukte wie SIEM und Firewalls oder auch Werkzeuge für das Schwachstellen- und Patch-Management angewiesen sind.

Um den Rückstau abzuarbeiten, hat das NIST sein zuständiges Personal aufgestockt und überdies externe Hilfe angefordert. Maßgeblich beteiligt ist die Cybersecurity and Infrastructure Security Agency (CISA), die im Mai 2024 einen eigenen Lösungsansatz für das Problem angekündigt hat: das bei GitHub öffentlich einsehbare "Vulnrichment"-Projekt. Hinter dem Kofferwort aus Vulnerability (Schwachstelle) und Enrichment (Anreicherung) verbirgt sich mehr als nur ein bloßes Aufstocken liegengebliebener CVEs um fehlende Metadaten: Das Projekt soll das Ergänzen fehlender CVE-Informationen dauerhaft beschleunigen und flexibler machen. Zudem integriert es nützliche, CISA-eigene Zusatzinformationen.

CISA darf jetzt CVEs bearbeiten

Interessant ist zunächst einmal, dass die CISA ihre Vulnrichment-Informationen nicht etwa an das NIST übermittelt, damit dieses die NVD ergänzen kann. Stattdessen hat sie von der MITRE die Befugnis erhalten, die Daten bestehender und neu veröffentlichter CVE-Einträge in MITREs CVE-Liste direkt anzureichern. Die Vulnrichment-Zusatzinformationen werden also zu einem festen Bestandteil der Einträge. Das NIST greift für die NVD auf MITREs Liste zu und erhält dann auf diesem Wege die bereits in den Einträgen befindlichen Anreicherungen.

Wie aus einem Blogeintrag des CVE-Programms von Juni 2024 hervorgeht, wurde die CISA in diesem Zusammenhang zum allerersten externen "CVE Authorized Data Publisher" (ADP) ernannt. Damit ist klar: Die US-Behörde will sich langfristig am Anreichern der Daten beteiligen.

Zur Einordnung der Ernennung: Eine große Überraschung ist sie nicht. Denn die CISA gehört schon seit Jahren zu den finanziellen Sponsoren des CVE-Programms und hat seit 2020 selbst die Rolle einer Root-CNA im Bereich der industriellen Steuerungssysteme (ICS) inne. Überdies sind auch CISA-Mitarbeiter Teil des CVE-Boards, das wichtige Entscheidungen rund um das Projekt trifft.

MITREs eigene Datenbank CVE.org profitiert ebenfalls von den Anreicherungen der CVE-Records durch die CISA. Bislang waren dort nämlich immer nur jene Informationen zu sehen, die die CNAs selbst in den CVE-Records hinterlegt hatten. Somit war sie als Datenquelle deutlich unattraktiver als die NVD mit den vom NIST-Team ergänzten Extra-Details. Dies hat sich nun geändert: Ein Blick etwa in den CVE.org-Eintrag zu CVE-2024-6730 offenbart, dass CISAs Daten jetzt fester Bestandteil des Informationsangebots sind. MITRE stellt sie in einem eigenen Reiter mit der Überschrift "ADP" bereit.

Wer eine Alternative zur Webansicht der Informationen sucht, sollte einen Blick auf MITREs GitHub-Repository CVE List V5 werfen. In ihm steht die komplette, alle sieben Minuten aktualisierte CVE-Liste inklusive Vulnrichment-Infos zum direkten Download bereit.