Ralentissement des évaluations des CVE : comment gérer les vulnérabilités malgré les délais du NVD ?

Comment gérer les vulnérabilités malgré les délais du NVD ?
Maxime ALAY-EDDINE
avril 11, 2024

Depuis le 12 février 2024, le NVD (National Vulnerability Database) a considérablement ralenti sa fréquence de publications d’évaluations CVSS pour les nouvelles CVE. Ce ralentissement est lié à une augmentation forte du nombre de CVE sur les dernières années, ainsi qu’à des problèmes politiques et organisationnels. Dans ce cadre, comment gérer les vulnérabilités malgré les délais du NVD ? Découvrez les méthodes utilisées par Cyberwatch pour maintenir un niveau de service de haute qualité pour l’ensemble de ses clients.

Qu’est-ce que le NVD (National Vulnerability Database) ?

Le NVD (National Vulnerability Database) est un programme américain, géré par le NIST, en charge d’évaluer les CVE et de leur associer à un score CVSS ainsi que des informations techniques (codes CPE, CWE notamment). Avec plus de 240 000 entrées, la base des CVE enrichies par le NVD est certainement l’une des sources les plus consultées dans le monde occidental pour évaluer les vulnérabilités.

Dans le processus de publication des vulnérabilités CVE, MITRE est en charge d’affecter un numéro CVE à toute nouvelle publication, tandis que le NVD fait ensuite l’évaluation de ces entrées CVE, sur la base du score CVSS (dont la formule est quant à elle maintenue par le FIRST, tout comme la formule du score EPSS).

D’où vient le ralentissement des évaluations des CVE par le NVD ?

Dans une publication du 13 février 2024, le NVD a indiqué avoir une grande quantité de vulnérabilités en attente d’évaluation.

Extrait de la publication du NVD

Parallèlement, une analyse statistique, comme celle réalisée par Anchore, montre que le pourcentage de vulnérabilités évaluées par le NVD s’est réduit de manière drastique depuis le 12 février 2024.

Mise en avant du ralentissement des évaluations des CVE par le NVD (analyse faire par Anchore)

D’après Tom Alrich, consultant en sécurité informatique et leader de l’OWASP SBOM Forum, ce problème est principalement lié à des soucis d’organisation entre agences américaines (Department of Commerce, et Department of Homeland Security), dont la résolution est politiquement complexe.

Au moment de la rédaction de cet article, la nature officielle du problème rencontré par le NVD n’a pas été décrite publiquement, et seuls quelques indices ont été fournis notamment lors de la conférence VulnCon 2024 : Tanya Brewer, du NIST, a ainsi dit qu’il s’agissait d’un « problème gouvernemental », ce qui confirmerait que le problème est politique et non technique.

Quand le NVD reprendra-t-il son rythme habituel ?

Pour le moment, aucune date de retour à la normale n’a été annoncée. Cependant, le NIST a indiqué travailler sur un consortium avec des industriels, le gouvernement, et d’autres organisations, pour améliorer le NVD.

Une hypothèse est par exemple que le programme CNA, qui permet de décentraliser l’évaluation des scores CVSS en les délégant à des éditeurs de logiciels, pourrait prendre de plus en plus de force.

Par exemple, pour la CVE-2024-3094, publiée le 29/03/2024 dans la base du NVD, et évaluée par Red Hat dans le cadre du programme CNA le même jour, une consultation de la page du NVD le 1er avril 2024 montre que l’évaluation officielle du NVD n’est toujours pas disponible et que le processus CNA semble donc particulièrement intéressant.

Données du 1er avril 2024 pour la CVE-2024-3094, qui montrent un vecteur CVSS issu du programme CNA

Mieux encore : les données de l’API exposée par le MITRE montrent des informations très détaillées, avec même des données CPE et CWE.

Extrait des données de l’API du MITRE pour la CVE-2024-3094

Les données CNA sont ainsi intéressantes pour un organisme souhaitant récupérer des données sur les CVE, en attendant les informations officielles du NVD.

Comment le scanner de vulnérabilités Cyberwatch gère-t-il le délai du NVD ?

Le scanner de vulnérabilités de Cyberwatch, Cyberwatch Vulnerability Manager, utilise une multitude de sources d’informations pour analyser les CVE, dont le NVD, l’API du MITRE, mais aussi et surtout les informations directement publiées par les éditeurs et autorités.

Dans ce cadre, Cyberwatch est en mesure de détecter les vulnérabilités dès qu’un éditeur publie une alerte de sécurité, et avant toute évaluation de la part du NVD.

Pour la CVE-2024-3094 par exemple, Cyberwatch disposait de signatures de détection dès publication le 29 mars 2024 par Red Hat en tant que CNA, et de Debian, Alpine Linux, ArchLinux en tant qu’éditeurs.

Extrait de la fiche CVE-2024-3094 dans l’encyclopédie des vulnérabilités de Cyberwatch, où les données des éditeurs viennent nourrir le moteur de scan avant même les analyses du NVD

Le moteur Cyberwatch n’est donc aucunement impacté par les retards du NVD.

Demandez une démonstration de notre logiciel Cyberwatch Vulnerability Manager

Nos experts sont à votre disposition pour toute demande de démonstration de Cyberwatch Vulnerability Manager, plateforme complète de gestion des vulnérabilités.

Rejoignez notre communauté d’utilisateurs et bénéficiez de la réactivité de notre moteur de scan, enrichi toutes les heures avec les dernières alertes de sécurité des éditeurs.

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.

Votre demande