Dünya genelindeki siber güvenlik uzmanlarının yazılım ve donanımdaki güvenlik açıklarını tespit etmek, hafifletmek ve düzeltmek için kullandığı kritik bir kaynak çökme riskiyle karşı karşıya. ABD federal hükümeti tarafından finanse edilen, kar amacı gütmeyen araştırma ve geliştirme kuruluşu MITRE, her yıl İç Güvenlik Bakanlığı (DHS) tarafından finanse edilen Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) programını yürütme sözleşmesinin 16 Nisan’da sona ereceğini duyurdu.
MITRE Başkan Yardımcısı Yosry Barsoum’un gönderdiği bir mektupta, CVE programına yönelik fonlamanın 16 Nisan 2025’te sona ereceği belirtildi.
Her yıl on binlerce yazılım güvenlik açığı bulunup rapor ediliyor ve bu açıkların her birine benzersiz bir CVE takip numarası (örneğin, Microsoft Windows’ta tespit edilen ve geçen yıl yamanan CVE-2024-43573) atanıyor.
MITRE tarafından yetkilendirilen ve “CVE Numaralandırma Otoriteleri (CNA)” olarak bilinen yüzlerce kuruluş, yeni bildirilen güvenlik açıklarına bu numaraları atama yetkisine sahip. Bu otoritelerin çoğu, hükümete ya da yazılım üreticilerine veya açık bildirimi platformlarına (örneğin hata ödül programları) bağlı şekilde çalışıyor.
Basitçe söylemek gerekirse, MITRE; yazılım güvenlik açıklarına dair bilgileri merkezi ve standart bir biçimde sunan kritik bir kaynak. Bu sayede sağladığı veri akışı, güvenlik açıklarını tespit edip kapatmak için kullanılan çok sayıda siber güvenlik aracına entegre ediliyor. Amaç, kötü amaçlı yazılımlar veya siber saldırganlar bu açıkları kullanamadan önce önlem alınmasını sağlamak.
Siber güvenlik firması Corellium’un COO’su Matt Tait, “CVE listeleri, bir güvenlik açığının ciddiyetini tanımlamak için standart bir yöntem sunar ve hangi ürünlerin hangi sürümlerinin kusurlu olduğunu gösteren merkezi bir depo görevi görür” dedi.
MITRE Başkan Yardımcısı Barsoum, CVE yönetim kuruluna gönderdiği mektupta, “MITRE’nin CVE ve diğer ilgili programları geliştirme, işletme ve modernize etme sözleşmesinin mevcut haliyle 16 Nisan 2025’te sona ereceğini” ifade etti.
Barsoum, “Eğer bu hizmette bir kesinti olursa, CVE programında ulusal güvenlik açıkları veri tabanları, güvenlik tavsiyeleri, araç sağlayıcıları, olay müdahale operasyonları ve kritik altyapılar dahil olmak üzere çok sayıda alan olumsuz etkilenebilir” dedi.
MITRE, yaptığı açıklamada, CVE web sitesinin açık kalacağını ancak 16 Nisan’dan sonra yeni güvenlik açıklarının listeye eklenmeyeceğini söyledi.
İç Güvenlik Bakanlığı yetkilileri, konuya ilişkin yorum taleplerine henüz yanıt vermedi. Program, şu anda Trump yönetimi tarafından önerilen bütçe ve personel kesintileriyle karşı karşıya olan DHS’nin bağlı kuruluşu Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından finanse ediliyor. USAspending.gov sitesine göre CVE projesi geçtiğimiz yıl yaklaşık 40 milyon dolarlık bir bütçe almıştı.
CISA’nın eski direktörü Jen Easterly, CVE programını “siber güvenliğin Dewey Onlu Sınıflama Sistemi”ne benzeterek, “Bu, herkesin – güvenlik ekipleri, yazılım üreticileri, araştırmacılar, hükümetler – aynı referans sistemiyle güvenlik açıklarını konuşmasına yardımcı olan küresel bir katalog” olduğunu söyledi.
Yönetilen güvenlik firması Huntress’ta baş araştırmacı olan John Hammond, CVE fonlamasının tehlikeye girdiğini duyduğunda küfrettiğini belirtti. Hammond, CVE’nin kaybedilmesinin “siber güvenlikte sorunları konuşmak için kullandığımız dilin ve terminolojinin kaybı” gibi olacağını söyledi.
“Bu durumun acı vereceğini düşünmeden edemiyorum,” diyen Hammond, YouTube üzerinden durumu anlatan ve insanları bilgilendiren bir video da paylaştı.
Konuya yakın birçok kişi, CVE programının bütçesinin daha önce de son dakikaya kadar belirsizlik içinde kaldığını söyledi. Barsoum’un sızdırılan mektubu umutlu bir notla son buluyor: Hükümetin MITRE’nin programdaki rolünü sürdürebilmesi için “önemli çabalar gösterdiği” belirtiliyor.
Tait’e göre, CVE programı olmadan şirketlerdeki risk yöneticileri, güvenlik açıkları hakkında bilgi almak için farklı birçok kaynağı takip etmek zorunda kalabilir. Bu da yazılım güncellemelerinin önceliklendirilmesinde sorunlara yol açarak, şirketlerin saldırılara açık yazılımları daha uzun süre kullanmasına neden olabilir.
“Umarım bu sorun çözülür,” diyen Tait, “Aksi takdirde liste hızla güncelliğini yitirir ve işlevini kaybeder,” dedi.
Güncelleme – 16 Nisan: CVE yönetim kurulu, programın çalışmalarını yeni bir fonlama ve organizasyon yapısı altında sürdürecek The CVE Foundation adında kar amacı gütmeyen bir kuruluşun kurulduğunu duyurdu.
Basın açıklamasında, “Kuruluşundan bu yana CVE Programı, ABD hükümeti tarafından finanse edilen bir girişim olarak faaliyet gösterdi. Bu yapı programın büyümesini desteklemiş olsa da, tek bir hükümet sponsoruna bağlı küresel bir kaynağın sürdürülebilirliği ve tarafsızlığı konusunda uzun süredir endişelere yol açtı” denildi.
Yeni kurulan thecvefoundation.org web sitesi henüz yalnızca bu basın açıklamasını barındırıyor. Kuruluş, önümüzdeki günlerde yapı ve geçiş süreci hakkında daha fazla bilgi paylaşacağını duyurdu.
Güncelleme – 16 Nisan: MITRE bugün yaptığı açıklamada, “programların faaliyetini sürdürebilmesi için kademeli bir fonlamanın sağlandığını” ve son 24 saat içinde siber güvenlik camiasından gelen yoğun desteğe teşekkür ettiklerini belirtti. Açıklamada, hükümetin MITRE’nin programdaki rolünü desteklemek için çabalarını sürdürdüğü ve MITRE’nin CVE ve CWE programlarına küresel kaynaklar olarak bağlı kalmaya devam edeceği ifade edildi.
