Selama akhir pekan, para ahli keamanan mulai panik. MITRE mengumumkan bahwa pemerintah AS belum memperbarui pendanaan untuk database Common Vulnerabilities and Exposures (CVE).
VP MITRE Yosry Barsoum memperingatkan bahwa kontrak dukungan pemerintah yang memungkinkan MITRE “untuk mengembangkan, mengoperasikan, dan memodernisasi CVE” akan berakhir pada tanggal 16 April. Itu berarti, lanjut Barsoum, “dampak ganda pada CVE, termasuk penurunan basis data kerentanan nasional dan peringatan, vendor alat, operasi respons insiden, dan segala jenis infrastruktur kritis.”
Semua keamanan komputer bergantung pada CVE, yang merupakan standar untuk melacak lubang keamanan yang signifikan. Untungnya, tanpa waktu tersisa, MITRE, organisasi nirlaba yang mengawasi database CVE, mengumumkan bahwa mereka akan mendapatkan pendanaan selama 11 bulan lagi.
Program CVE, yang telah mencatat lebih dari 274.000 kelemahan keamanan yang diumumkan secara publik sejak awal berdirinya pada tahun 1999, diandalkan oleh pemerintah, industri swasta, dan komunitas sumber terbuka – singkatnya, semua orang – untuk melacak dan mengkoordinasikan tanggapan terhadap lubang perangkat lunak. Misalnya, Microsoft, dengan Patch Tuesday-nya, dan pengembang kernel Linux keduanya menggunakan CVE untuk melacak masalah keamanan.
Semua orang bergantung pada CVE karena, meskipun jauh dari sempurna, mereka adalah standar yang disepakati secara universal untuk melacak masalah keamanan. Seperti yang dijelaskan oleh Jen Easterly, mantan direktur Cybersecurity and Infrastructure Security Agency (CISA), di LinkedIn:
“Pikirkan sistem CVE seperti Sistem Decimal Dewey untuk keamanan cyber. Ini adalah katalog global yang membantu semua orang – tim keamanan, vendor perangkat lunak, peneliti, pemerintah – mengatur dan berbicara tentang kerentanan menggunakan sistem referensi yang sama. Tanpa itu:
Semua orang menggunakan katalog yang berbeda atau tidak ada katalog sama sekali;
Tidak ada yang tahu apakah mereka sedang berbicara tentang masalah yang sama;
Pembela membuang waktu berharga untuk memahami apa yang salah;
Dan yang terburuk dari semuanya, pelaku ancaman memanfaatkan kebingungan tersebut.
Lebih lanjut, seperti yang dikatakan Ariadne Conill, salah satu pendiri dan insinyur terkemuka di perusahaan keamanan teknologi Edera, kepada saya dalam sebuah wawancara. “Database CVE sangat penting untuk keamanan internasional. Meskipun database pihak ketiga ada, dunia telah menetapkan identifikasi CVE sebagai penunjuk data kerentanan. Kehilangan layanan CVE akan menjadi bencana. Setiap strategi manajemen kerentanan di seluruh dunia saat ini sangat bergantung pada sistem CVE dan identifikatornya.”
Melihat ke depan, lanjut Conill, “basis data kerentanan harus merangkul data terhubung untuk merujuk ke kerentanan yang sama dalam basis data eksternal daripada bergantung pada identifikasi CVE. Pemenuhan data kerentanan dapat dilakukan menggunakan teknologi data terhubung seperti JSON-LD, yang telah dimanfaatkan oleh SPDX 3 dan OpenVEX. Akibatnya, National Vulnerability Database tidak akan lagi diperlukan, dan pengembang tidak akan terikat pada keputusan seperti ini.”
Namun, sampai hal itu terjadi, CVE akan tetap menjadi hal kritis bagi semua keamanan teknologi. Bagaimana CVE bisa begitu dekat dengan ditutup? Ini tentang kontrak federal dan kebingungan saat ini tentang keuangan pemerintah AS. MITRE telah mengoperasikan program CVE selama 25 tahun, di bawah sponsor dari Departemen Keamanan Dalam Negeri AS (DHS) dan CISA. MITRE bertindak sebagai Editor CVE dan Otoritas Penomoran CVE Utama (CNA), mengawasi penugasan identifikasi CVE unik yang berfungsi sebagai standar referensi global untuk kerentanan.
MITRE juga mengelola program terkait seperti Common Weakness Enumeration (CWE), yang mengklasifikasikan kelemahan perangkat lunak dan perangkat keras.
Kita tidak tahu mengapa kontrak tidak diperbarui sampai menit terakhir. Namun, di bawah DOGE, karyawan CISA diberi waktu sampai tengah malam Senin untuk memilih antara tetap bekerja atau mengundurkan diri. Mereka yang tetap akan menghadapi kemungkinan dipecat karena agensi menghadapi pemotongan hingga sepertiga dari anggotanya.
Pada Selasa malam, tanggal 15 April, CISA mengeksekusi periode opsi pada kontrak untuk memastikan tidak ada kekosongan dalam layanan CVE yang penting. Opsi ini hanya berlangsung selama 11 bulan dan kemudian harus diperbarui – atau kita akan kembali ke kondisi yang sama.
Meskipun risiko gangguan langsung telah dihindari, episode ini menyoroti kekhawatiran yang berkelanjutan tentang keberlanjutan dan netralitas program CVE, yang diandalkan di seluruh dunia namun bergantung pada pendanaan pemerintah AS. Ini juga bukan kali pertama ketidakcukupan dana mengancam CVE. Musim panas lalu, dana yang tidak mencukupi membuat tidak ada yang bisa mengelola banjir terus menerus dari CVE baru.
Anggota dewan CVE telah meluncurkan Yayasan CVE, sebuah organisasi nirlaba untuk menjaga stabilitas dan kemandirian program di masa depan. Kent Landfield, salah satu pendiri CVE dan seorang pejabat Yayasan CVE, mencatat bahwa “CVE, sebagai salah satu landasan ekosistem keamanan cyber global, terlalu penting untuk rentan itu sendiri. Profesional keamanan cyber di seluruh dunia mengandalkan identifikasi CVE dan data sebagai bagian dari pekerjaan sehari-hari mereka, mulai dari alat keamanan dan peringatan hingga intelijen ancaman dan respons. Tanpa CVE, pembela berada dalam kekurangan besar terhadap ancaman cyber global.”
Tujuan Yayasan CVE adalah untuk menghilangkan titik kegagalan tunggal dalam ekosistem manajemen kerentanan dan memastikan Program CVE tetap sebagai inisiatif yang diandalkan secara global dan didorong oleh komunitas.
Setiap peringatan keamanan dalam daftar CVE mengandung identifikasi unik yang disebut CVE ID, deskripsi kerentanan, dan referensi informasi. Sistem ini memungkinkan organisasi, profesional keamanan, dan vendor berkomunikasi secara jelas dan konsisten tentang kelemahan keamanan tertentu. Ini, pada gilirannya, membantu memfasilitasi upaya pelacakan, penilaian, dan perbaikan. Sebagian besar CVE diberi skor Common Vulnerability Scoring System (CVSS). Ini adalah penilaian numerik, berkisar dari 0 hingga 10, di mana semakin tinggi skornya, semakin berbahaya lubang keamanan tersebut. Skor CVSS umumnya digunakan untuk memutuskan seberapa cepat masalah tersebut perlu diperbaiki.