Il sistema statunitense per il monitoraggio delle vulnerabilità fatica a stare al passo con il lavoro arretrato. Gli esperti stanno cercando affannosamente di mettere insieme delle alternative.
Ogni giorno, miliardi di persone si affidano ai sistemi digitali per gestire ogni aspetto della propria vita, dalla comunicazione al commercio, fino alle infrastrutture critiche. Tuttavia, il sistema di allerta precoce globale che avvisa i team di sicurezza in caso di pericolosi difetti del software presenta gravi lacune nella copertura e la maggior parte degli utenti non ha idea che la propria vita digitale stia diventando sempre più vulnerabile.
Negli ultimi 18 mesi, due pilastri della sicurezza informatica globale hanno rischiato il collasso. Nel febbraio 2024, il National Vulnerability Database (NVD), sostenuto dagli Stati Uniti e utilizzato a livello globale per le sue analisi gratuite delle minacce alla sicurezza, ha improvvisamente smesso di pubblicare nuove voci, citando un criptico “cambiamento nel supporto interagenzia“. Poi, nell’aprile di quest’anno, il programma Common Vulnerabilities and Exposures (CVE), il sistema di numerazione fondamentale per il monitoraggio dei difetti del software, è sembrato correre un rischio simile: una lettera trapelata avvertiva dell’imminente scadenza del contratto.
Da allora, i professionisti della sicurezza informatica hanno inondato i canali Discord e i feed LinkedIn con post di emergenza e meme con le sigle “NVD” e “CVE” incise su lapidi. Le vulnerabilità non corrette sono il secondo più comune metodo utilizzato dai cyberattaccanti per introdursi nei sistemi e hanno causato interruzioni fatali in ospedali e guasti critici alle infrastrutture. In un post sui social media, Jen Easterly, esperta di sicurezza informatica statunitense, ha affermato: “Perdere [CVE] sarebbe come strappare il catalogo cartaceo da tutte le biblioteche contemporaneamente, lasciando i difensori a districarsi nel caos mentre gli aggressori ne approfittano”. Se i CVE identificano ogni vulnerabilità come un libro in un catalogo cartaceo, le voci NVD forniscono una revisione dettagliata con il contesto relativo alla gravità, alla portata e alla sfruttabilità.
Alla fine, la Cybersecurity and Infrastructure Security Agency (CISA) ha prorogato il finanziamento di un altro anno per il CVE, attribuendo l’incidente a un “problema di amministrazione del contratto”. Ma la storia dell’NVD si è rivelata più complicata. Secondo quanto riferito, la sua organizzazione madre, il National Institute of Standards and Technology (NIST), ha subito un taglio del budget di circa il 12% nel 2024, proprio nel momento in cui la CISA ha ritirato il suo finanziamento annuale da 3,7 milioni di dollari all’NVD. Poco dopo, con l’aumentare dell’arretrato, la CISA ha lanciato il proprio programma “Vulnrichment” per contribuire a colmare il divario analitico, promuovendo al contempo un approccio più distribuito che consente a più partner autorizzati di pubblicare dati arricchiti.
“La CISA valuta continuamente come allocare in modo più efficace le risorse limitate per aiutare le organizzazioni a ridurre il rischio di vulnerabilità appena scoperte”, afferma Sandy Radesky, vicedirettrice dell’agenzia per la gestione delle vulnerabilità. Piuttosto che limitarsi a colmare il divario, sottolinea, Vulnrichment è stato istituito per fornire informazioni aggiuntive uniche, come le azioni raccomandate per specifici stakeholder, e per “ridurre la dipendenza dal ruolo del governo federale come unico fornitore di arricchimento delle vulnerabilità”.
Nel frattempo, il NIST si è affrettato ad assumere appaltatori per aiutare a smaltire l’arretrato. Nonostante il ritorno ai livelli di elaborazione pre-crisi, il boom delle vulnerabilità recentemente divulgate al NVD ha superato questi sforzi. Attualmente, secondo i dati della società di software Anchore, sono oltre 25.000 le vulnerabilità in attesa di essere elaborate, quasi 10 volte il precedente record raggiunto nel 2017. In precedenza, l’NVD era riuscito a tenere il passo con le pubblicazioni CVE, mantenendo un arretrato minimo.
“La situazione è stata turbolenta e abbiamo attraversato un periodo di cambiamenti a tutti i livelli”, ha dichiarato Matthew Scholl, allora capo della divisione sicurezza informatica del Laboratorio di tecnologia dell’informazione del NIST, in occasione di un evento di settore tenutosi ad aprile. “La dirigenza ha assicurato a me e a tutti che l’NVD è e continuerà ad essere una priorità per il NIST, sia in termini di risorse che di capacità”. Scholl ha lasciato il NIST a maggio dopo 20 anni di servizio presso l’agenzia, e il NIST ha rifiutato di commentare l’arretrato.
La situazione ha ora spinto il governo ad adottare diverse misure: a maggio il Dipartimento del Commercio ha avviato una verifica del NVD e a giugno i democratici alla Camera hanno chiesto un’indagine più ampia su entrambi i programmi. Ma il danno alla fiducia sta già trasformando la geopolitica e le catene di approvvigionamento, mentre i team di sicurezza si preparano a una nuova era di rischi informatici. “Ha lasciato l’amaro in bocca e le persone si stanno rendendo conto che non possono fare affidamento su questo”, afferma Rose Gupta, che sviluppa e gestisce programmi di gestione delle vulnerabilità aziendali. “Anche se domani riuscissero a mettere insieme tutto con un budget più consistente, non so se questo non si ripeterà. Quindi devo assicurarmi di avere altri controlli in atto”.
Con il venir meno di queste risorse pubbliche, le organizzazioni e i governi si trovano ad affrontare una grave debolezza della nostra infrastruttura digitale: i servizi essenziali di sicurezza informatica a livello globale dipendono da una complessa rete di interessi delle agenzie statunitensi e di finanziamenti governativi che possono essere tagliati o reindirizzati in qualsiasi momento.
Chi ha la sicurezza e chi non ce l’ha
Quello che era iniziato come un piccolo flusso di vulnerabilità software all’inizio dell’era di Internet è diventato una valanga inarrestabile, e i database gratuiti che li hanno monitorati per decenni hanno faticato a stare al passo. All’inizio di luglio, il database CVE ha superato le 300.000 vulnerabilità catalogate. I numeri aumentano in modo imprevedibile ogni anno, a volte del 10% o anche di più. Anche prima dell’ultima crisi, l’NVD era noto per i ritardi nella pubblicazione delle nuove analisi delle vulnerabilità, spesso in ritardo di settimane o mesi rispetto ai software di sicurezza privati e alle segnalazioni dei fornitori.
Gupta ha osservato che le organizzazioni adottano sempre più spesso software commerciali di gestione delle vulnerabilità (VM) che includono i propri servizi di intelligence sulle minacce. “Siamo diventati decisamente troppo dipendenti dai nostri strumenti VM”, afferma, descrivendo la crescente dipendenza dei team di sicurezza da fornitori come Qualys, Rapid7 e Tenable per integrare o sostituire database pubblici inaffidabili. Queste piattaforme combinano le proprie ricerche con varie fonti di dati per creare punteggi di rischio proprietari che aiutano i team a stabilire le priorità delle correzioni. Ma non tutte le organizzazioni possono permettersi di colmare il vuoto lasciato dall’NVD con strumenti di sicurezza premium. “Le aziende più piccole e le startup, già in una posizione di svantaggio, saranno più a rischio”, spiega.
Komal Rawat, ingegnere della sicurezza a Nuova Delhi, la cui startup cloud in fase intermedia ha un budget limitato, descrive l’impatto in termini molto chiari: “Se l’NVD scomparisse, ci sarebbe una crisi nel mercato. Gli altri database non sono così popolari e, nella misura in cui vengono adottati, non sono gratuiti. Se non si dispone di dati recenti, si è esposti agli attacchi di chi li possiede”.
Il crescente arretrato significa che i nuovi dispositivi potrebbero essere più soggetti a punti ciechi in termini di vulnerabilità, che si tratti di un campanello Ring a casa o di un sistema di controllo degli accessi “intelligente” in un edificio per uffici. Il rischio maggiore potrebbe essere rappresentato da falle di sicurezza “una tantum” che sfuggono ai radar. “Esistono migliaia di vulnerabilità che non interessano la maggior parte delle aziende”, afferma Gupta. “Sono quelle che non vengono analizzate e che ci espongono a dei rischi”.
Il NIST riconosce di avere una visibilità limitata sulle organizzazioni maggiormente colpite dal ritardo. “Non monitoriamo quali settori utilizzano quali prodotti e quindi l’ e non è in grado di misurare l’impatto su settori specifici”, afferma un portavoce. Il team assegna invece la priorità alle vulnerabilità sulla base dell’elenco degli exploit noti della CISA e di quelli inclusi nelle avvisi dei fornitori, come il Patch Tuesday di Microsoft.
La vulnerabilità più grave
Brian Martin ha assistito dall’interno all’evoluzione e al deterioramento di questo sistema. Ex membro del consiglio di amministrazione del CVE e responsabile del progetto originale dell’Open Source Vulnerability Database, Martin si è costruito nel corso dei decenni una reputazione di storico e professionista di spicco. Martin afferma che il suo attuale progetto, VulnDB (parte di Flashpoint Security), supera in termini di prestazioni i database ufficiali che un tempo contribuiva a supervisionare. “Il nostro team elabora più vulnerabilità, con tempi di risposta molto più rapidi e a un costo molto inferiore”, afferma, riferendosi alle decine di milioni di contratti governativi che sostengono il sistema attuale.
Quando abbiamo parlato a maggio, Martin ha detto che il suo database contiene più di 112.000 vulnerabilità senza identificatori CVE, ovvero falle di sicurezza che esistono ma rimangono invisibili alle organizzazioni che si affidano esclusivamente ai canali pubblici. “Se mi dessero i soldi per triplicare il mio team, il numero di vulnerabilità non CVE sarebbe nell’ordine delle 500.000”, ha affermato.
Negli Stati Uniti, i compiti ufficiali di gestione delle vulnerabilità sono suddivisi tra una rete di appaltatori, agenzie e centri senza scopo di lucro come la Mitre Corporation. Critici come Martin sostengono che ciò crea potenziali ridondanze, confusione e inefficienza, con livelli di gestione intermedi e un numero relativamente esiguo di veri esperti di vulnerabilità. Altri difendono il valore di questa frammentazione. “Questi programmi si basano l’uno sull’altro o si completano a vicenda per creare una comunità più completa, solidale e diversificata”, ha affermato la CISA in una dichiarazione. “Ciò aumenta la resilienza e l’utilità dell’intero ecosistema”.
Mentre la leadership americana vacilla, altre nazioni stanno intensificando i loro sforzi. La Cina gestisce ora diversi database di vulnerabilità, alcuni sorprendentemente robusti ma contaminati dalla possibilità che siano soggetti al controllo statale. A maggio, l’Unione Europea ha accelerato il lancio del proprio database, nonché di un’architettura decentralizzata denominata “Global CVE”. Dopo i social media e i servizi cloud, l’intelligence sulle vulnerabilità è diventata un altro fronte nella lotta per l’indipendenza tecnologica.
Ciò costringe i professionisti della sicurezza a districarsi tra più fonti di dati potenzialmente in conflitto tra loro. “Sarà un casino, ma preferisco avere troppe informazioni piuttosto che nessuna”, afferma Gupta, descrivendo come il suo team monitora più database nonostante la maggiore complessità.
Ridefinire la responsabilità del software
Mentre i difensori si adattano al panorama frammentato, l’industria tecnologica si trova ad affrontare un altro dilemma: perché i fornitori di software non si assumono maggiori responsabilità nella protezione dei propri clienti dai problemi di sicurezza? I principali fornitori rivelano regolarmente migliaia di nuove vulnerabilità ogni anno, ma non sempre le correggono. Una singola esposizione potrebbe causare il crash di sistemi critici o aumentare i rischi di frode e uso improprio dei dati.
Per decenni, il settore si è nascosto dietro scudi legali. Le “licenze shrink-wrap” un tempo costringevano i consumatori a rinunciare in larga misura al loro diritto di ritenere i fornitori di software responsabili per i difetti. Gli attuali contratti di licenza per gli utenti finali (EULA), spesso visualizzati in finestre pop-up del browser, si sono evoluti in documenti incomprensibilmente lunghi. Lo scorso novembre, un progetto di laboratorio chiamato “EULAS of Despair” ha utilizzato la lunghezza di Guerra e pace (587.287 parole) per misurare questi contratti tentacolari. Il peggiore? Twitter, con 15,83 romanzi di clausole scritte in caratteri minuscoli.
“Si tratta di una finzione giuridica che abbiamo creato attorno a tutto questo ecosistema, e non è sostenibile”, afferma Andrea Matwyshyn, consulente speciale statunitense e professore di diritto tecnologico alla Penn State University, dove dirige il Policy Innovation Lab of Tomorrow. “Alcuni sottolineano il fatto che il software può contenere un mix di prodotti e servizi, creando situazioni più complesse. Ma proprio come nei contenziosi in materia di ingegneria o finanza, anche gli scenari più complessi possono essere risolti con l’aiuto di esperti”.
Questo scudo di responsabilità sta finalmente iniziando a incrinarsi. Nel luglio 2024, un aggiornamento di sicurezza difettoso nel popolare software di rilevamento degli endpoint di CrowdStrike ha causato il crash di milioni di computer Windows in tutto il mondo e interruzioni di servizio in tutti i settori, dalle compagnie aeree agli ospedali ai sistemi di emergenza. L’incidente ha causato danni stimati in miliardi di dollari e la città di Portland, nell’Oregon, ha persino dichiarato lo “stato di emergenza“. Ora, le aziende colpite, come Delta Airlines, hanno assunto avvocati di alto livello per ottenere un risarcimento danni ingente, aprendo le porte a una valanga di cause legali.
Nonostante il numero crescente di vulnerabilità, molte rientrano in categorie consolidate, come le iniezioni SQL che interferiscono con le query dei database e gli overflow della memoria buffer che consentono l’esecuzione di codice da remoto. Matwyshyn sostiene l’introduzione obbligatoria di una “distinta dei materiali software” o S-BOM, un elenco di ingredienti che consentirebbe alle organizzazioni di capire quali componenti e potenziali vulnerabilità esistono nella loro catena di fornitura di software. Un recente rapporto ha rilevato che il 30% delle violazioni dei dati deriva dalle vulnerabilità di fornitori di software di terze parti o di servizi cloud.
Aggiunge: “Quando non è possibile distinguere tra le aziende che cercano di risparmiare e quelle che hanno davvero investito per soddisfare i propri clienti, il risultato è un mercato in cui tutti perdono”.
La leadership della CISA condivide questo sentimento, con un portavoce che sottolinea i suoi “principi di sicurezza intrinseca”, come “rendere disponibili le funzionalità di sicurezza essenziali senza costi aggiuntivi, eliminare classi di vulnerabilità e realizzare prodotti in modo da ridurre l’onere della sicurezza informatica per i clienti”.
Evitare un’era buia del digitale
Non sorprende che i professionisti del settore stiano guardando all’IA per colmare questa lacuna, preparandosi al contempo a una prossima ondata di attacchi informatici da parte di agenti IA . I ricercatori nel campo della sicurezza hanno utilizzato un modello OpenAI per scoprire nuove vulnerabilità “zero-day”. Inoltre, sia il team NVD che quello CVE stanno sviluppando “strumenti basati sull’IA” per aiutare a semplificare la raccolta, l’identificazione e l’elaborazione dei dati. Il NIST afferma che “fino al 65% del nostro tempo di analisi è stato dedicato alla generazione di CPE”, codici di informazione sui prodotti che individuano il software interessato. Se l’IA riuscisse a risolvere anche solo una parte di questo noioso processo, potrebbe accelerare notevolmente il processo di analisi.
Ma Martin mette in guardia dall’ottimismo nei confronti dell’IA, sottolineando che la tecnologia è ancora da dimostrare e spesso piena di imprecisioni, che nel campo della sicurezza possono essere fatali. “Piuttosto che l’IA o il ML [machine learning], esistono modi per automatizzare strategicamente parti dell’elaborazione dei dati sulle vulnerabilità, garantendo al contempo un’accuratezza del 99,5%”, afferma.
L’IA non riesce inoltre ad affrontare sfide più fondamentali in materia di governance. La CVE Foundation, lanciata nell’aprile 2025 da alcuni membri del consiglio di amministrazione che si sono separati dall’organizzazione, propone un modello senza scopo di lucro finanziato a livello globale simile a quello del sistema di indirizzamento di Internet, che è passato dal controllo del governo statunitense alla governance internazionale. Altri leader nel campo della sicurezza stanno spingendo per rivitalizzare alternative open source come il progetto OSV di Google o l’NVD++ (gestito da VulnCheck), che sono accessibili al pubblico ma attualmente dispongono di risorse limitate.
Mentre questi vari sforzi di riforma prendono slancio, il mondo sta prendendo coscienza del fatto che l’intelligence sulle vulnerabilità, come la sorveglianza delle malattie o la sicurezza aerea, richiede una cooperazione costante e investimenti pubblici. Senza di essi, rimarrà solo un mosaico di database a pagamento, che rischia di lasciare permanentemente esposte tutte le organizzazioni e le nazioni tranne le più ricche.
Matthew King è un giornalista specializzato in tecnologia e ambiente con sede a New York. In precedenza ha lavorato per la società di sicurezza informatica Tenable.
