Amerikaans cybersecurityagentschap redt CVE-programma met financiering

Het Amerikaanse Cybersecurity and Infrastructure Security Agency gaat de financiering voor het beheer van de CVE-database en -infrastructuur voortzetten. De CISA zegt in een verklaring dat het een contract daarvoor verlengt.

De CISA schrijft dat in een verklaring aan Tweakers. Het cybersecurityagentschap erkent het belang van het CVE-programma en noemt dat 'een prioriteit' voor de organisatie. "Gisteravond heeft de CISA de option period van het contract uitgevoerd om te zorgen dat er geen onderbreking in kritieke CVE-diensten is", zegt de organisatie.

Het gaat om het contract met de Mitre Corporation. Op woensdagochtend kwam naar buiten dat het contract tussen Mitre en de Amerikaanse overheid was verlopen. Daardoor zou de organisatie geen financiering meer ontvangen. Nu spreekt de CISA over een option period. Dat is in Amerikaanse overheidscontracten een gebruikelijke stap om verlopen contracten met een extra periode te verlengen.

Het is officieel niet bekend met welke periode het contract wordt verlengd, maar Tweakers heeft vernomen dat dit voor minder dan een jaar is. Het contract liep tussen Mitre en het Amerikaanse ministerie van Binnenlandse Veiligheid, waar de CISA onder valt.

Reacties (23)

JeroenED 16 april 2025 17:15

Ik snap dat dit project ondersteuning nodig heeft vanuit een overheid om niet partijdig over te komen (mocht google dit doen kunnen ze zelfs ondanks de onafhankelijkheid ervoor kiezen om zware genante kwetsbaarheden, die overigens in mijn ogen als eerste moeten publiek gemaakt worden, toe te dichten), maar waarom moet dit gebeuren door de USA als de EU en zelfs Rusland of Noord-Korea dit gebruikt en baat bij heeft? Is het dan niet eerder aan een VN of zo?

TV_NERD @JeroenED • 16 april 2025 17:19

Dan moet je ook het serverpark wat deze meuk beheert in internationaal gebied gaan zetten. Wat mij betreft zijn internationale wateren een goed idee, en een serverpark op zee of zelfs volledig onder water, is tegenwoordig prima te doen.

Dooxed @TV_NERD • 16 april 2025 18:31

Ga jij ff een diskje swappen daar?

dasiro @Dooxed • 16 april 2025 19:09

ROV's zijn al langer een ding

laat die RO over aan een AI en je moet er zelfs niet meer naar omkijken

TheGabeMan @JeroenED • 16 april 2025 17:24

Het drama was voornamelijk over dat van de 1 op de andere dag gezegd wordt 'we doen t niet meer, los t zelf maar op'.

watercoolertje @JeroenED • 16 april 2025 17:27

waarom moet dit gebeuren door de USA als de EU en zelfs Rusland of Noord-Korea dit gebruikt en baat bij heeft? Is het dan niet eerder aan een VN of zo?

Moeten? Worden ze gedwongen dan? Ze hebben het toch zelf vrijwillig opgezet lijkt mij...

De situatie is al jaren zoals het is (of was) en dat was eerder dus geen probleem! Als de VS er vanaf wil en/of kosten wil delen was overleg toch voldoende geweest? Nu komen ze gewoon zeer onbetrouwbaar over en daar zit de verbazing van mensen in, het is echt een dikke middelvinger naar iedereen. Dat een land geen kosten voor andere wil dragen is doodnormaal, dat kan je dan toch normaal aankaarten en oplossen op een soort van beschaafde manier?

[Reactie gewijzigd door watercoolertje op 16 april 2025 17:28]

Cyberpuppy @watercoolertje • 17 april 2025 11:52

Jij gebruikt het woord "beschaafd". Ik neem aan dat je het nieuws een beetje gevolgd hebt en weet wie er op dit moment president is.

uiltje @Cyberpuppy • 17 april 2025 16:13

Volgens mij zit dit al in de posting waarop je reageert: het kan beschaafd maar het gebeurd nu niet omdat...

Keypunchie @JeroenED • 16 april 2025 18:00

Kan. Maar het is wel handig dat er 1 coördinerende partij is. Aangezien Amerika veruit de grootste tech sector heeft, was het ook niet gek dat ze zo’n projectje (het gaat om kleingeld in termen van IT projecten) financierden. Maar aangezien ze graag hun wereldleiderschapsrol willen opgeven, laat ze een overdrachtsplan opstellen. Gaat de komende 11 maanden denk ik ook wel gebeuren.

@TV_NERD Genoeg spullen van de VN staan gewoon op nationaal grondgebied, hoor. Ze contracteren gewoon IT diensten bij commerciële partijen.

TV_NERD @Keypunchie • 16 april 2025 18:15

En (imho) wil je dat idealiter niet. Uiteindelijk is alles wat op soeverein grongebied staat is uiteindelijk volledig opeisbaar door een rechter in dat land. Zoals de VS ons recent heeft laten zien is het beter om soms extra beveiliging in te bouwen en je ervan te verzekeren dat dat niet kan gebeuren. Dan zijn bijvoorbeeld internationale wateren een prima idee. Dat is de enige vorm van volledig statenloos gebied waar ik zo op kan komen, maar er zijn er vast meer.

Keypunchie @TV_NERD • 16 april 2025 18:17

De informatie in de CVE database is (intentioneel) publiek…

TV_NERD @Keypunchie • 16 april 2025 18:51

En daarom wil je dus niet dat een enkele staat de servers kan opeisen.

ballo50 @TV_NERD • 16 april 2025 20:09

Dit is toch ook het geval met de DNS root servers? Die staan gewoon verspreid over de hele wereld. Kan dus ook gebeuren met de CVE database. Geen afhankelijkheid van 1 continent/ land...

Blokker_1999

Verenigde staten
Beveiliging en antivirus

@JeroenED • 16 april 2025 18:41

Het zwaartepunt van de tech industrie zit in de VS, en de VS heeft nooit de controle uit handen willen geven. Waarom denk je dat de VS in essentie het internet beheerd bijvoorbeeld? Als Trump morgen zegt dat hij het .mp TLD wenst te hebben zodat hij zichtzelf als donald.tru.mp kan bereikbaar maken op het internet en hij tekent daar een uitvoerend order voor, dan zal er niet veel dat kunnen tegenhouden.

useruser @Blokker_1999 • 17 april 2025 08:16

Als hij morgen besluit het .arpa tld uit te zetten omdat Putin dat graag ziet dan gaat het hele internet uit. Ik hoop dat dit een wake up call is voor de hele wereld.

GeroldM 16 april 2025 17:02

Niet zo makkelijk dus om een E U tegenhanger daarvoor op te zetten, de mate van verstrengeling met de regering in de VS lijkt nogal veelomvattend.

Cyberpuppy @GeroldM • 18 april 2025 13:57

Het is vooral veel organisatorisch werk.

De publieke website is het minste werk. In essentie wat regels uit een database presenteren.

Maar er zijn een heleboel partijen die direct en indirect CVE's kunnen registreren. Die moeten wel allemaal gecontroleerd worden en gepubliceerd. Daarnaast moet je die partijen dus gaan overtuigen om jouw systeem te gaan gebruiken naast (of in plaats van) het huidige systeem.

En dan moet je nog alle diensten die nu de data uit die CVE's verwerken gaan aanpassen.

Meestal is het een goed idee als er niet 1 partij alleenheerser is. Maar in dit soort gevallen wil je feitelijk maar 1 partij. Zou niet willen dat ik mijn CVE's zou moeten ophalen volgens een model van Netflix, Prime, Videoland enz.

Gallo_Claudio 17 april 2025 06:39

Wat ik in alle reacties hier mis, is dat er al veel langer een trend gaande is waarbij kwetsbaarheden bewust niet meer van een CVE worden voorzien, maar alleen op de eigen website van de fabrikant worden vermeld. En dit zijn niet de obscure merken of vage Chinese fabrikanten, maar juist grote, serieuze industriële spelers.

Wanneer een kwetsbaarheid door een externe onderzoeker wordt ontdekt en gepubliceerd, ontkomen ze er meestal niet aan om alsnog een CVE aan te maken. Maar het aantal fixes dat deze (niet nader te noemen) fabrikanten vermelden in hun release notes en security-publicaties, ligt veel hoger dan het aantal kwetsbaarheden dat uiteindelijk in de CVE-database terechtkomt.

Zoek zelf maar eens:
https://www.se.com/ww/en/...ecurity-notifications.jsp
https://www.siemens.com/g...oducts/services/cert.html
https://global.abb/group/.../alerts-and-notifications
https://www.yokogawa.com/...ity-advisory-report-list/
https://www.rockwellautom.../security-advisories.html
https://www.gevernova.com...urity/security-advisories
https://www.mitsubishielectric.com/psirt/index.html

De hieronderstaande fabrikanten hebben blijkbaar de pagina's gewijzigd en ik ben te lui om op dit moment de nieuwe hyperlinks te zoeken:
https://www.honeywell.com.../alerts-and-notifications
https://www.emerson.com/en-us/support/product-security

killercow 16 april 2025 16:59

Volkomen krankzinnig dat je als overheid dit soort bokkesprongen maakt omdat je denkt dat een botte bijl een redelijk stuk gereedschap is om efficiency te verhogen.
Europa kan maar beter snel eigen initiatieven uit de grond stampen om andere ongelukjes, besluiten en aanvallen op onze soevereiniteit af te wenden

meowmofo @killercow • 16 april 2025 19:34

Er lijkt iets van de EU in de maak te zijn.

https://euvd.enisa.europa.eu/

ballo50 @meowmofo • 16 april 2025 20:06

Ik zie toch liever dat er 1 wereldwijde organisatie is die dit bij houdt, die door de EU, US en anderen wordt gesponsord dan continentale initiatieven waardoor er verschillende namen voor een vulnerability gegeven worden. Tevens wordt het lastig om te bepalen of EUVD XX gelijk staat aan CVE2525-XY...

Het is soms al lastig genoeg om de verschillende benamingen van malware/ campagnes / ATP groepen te begrijpen.

The Zep Man

Beveiliging en antivirus
Verenigde staten

@killercow • 16 april 2025 17:04

Volkomen krankzinnig dat je als overheid dit soort bokkesprongen maakt omdat je denkt dat een botte bijl een redelijk stuk gereedschap is om efficiency te verhogen.

Zoals het karakter van George Clooney noemde in Up in the Air (2009): "That's what we're selling. It's not what we're doing."

Het doel en wat ze doen is het crashen van de economie voor zelfverrijking. De economie crasht niet door fluwelen handschoenen te gebruiken. Gebruik van de botte bijl zorgt voor veel nevenschade, maar die wordt niet betaald door degenen die ervan profiteren. "Privatize profits, socialize losses."

[Reactie gewijzigd door The Zep Man op 16 april 2025 17:33]

Op dit item kan niet meer gereageerd worden.

Amerikaans cybersecurityagentschap redt CVE-programma met financiering

Lees meer

Reacties (23)

Sorteer op:

Weergave: