NIST dejará de puntuar vulnerabilidades de baja prioridad por la sobrecarga en su sistema CVSS

Introducción

El Instituto Nacional de Estándares y Tecnología (NIST), referente global en la gestión de vulnerabilidades a través de la Base Nacional de Datos de Vulnerabilidades (NVD), ha anunciado una decisión estratégica que afecta de forma directa a la comunidad de ciberseguridad: dejará de asignar puntuaciones de severidad (CVSS) a vulnerabilidades calificadas como de baja prioridad. Este cambio responde a la presión ocasionada por el aumento exponencial en el volumen de reportes recibidos y plantea importantes desafíos para analistas SOC, CISOs, pentesters y consultores en gestión de riesgos.

Contexto del Incidente

Durante la última década, el número de vulnerabilidades registradas y publicadas en la NVD ha crecido de manera sostenida. Solo en 2023, se documentaron más de 29.000 nuevas vulnerabilidades (CVE), una cifra récord que representa un incremento superior al 20% respecto al año anterior. El CVSS (Common Vulnerability Scoring System) ha sido la referencia mundial para valorar el riesgo asociado a cada vulnerabilidad, permitiendo priorizar parches, definir estrategias de mitigación y cumplir con marcos regulatorios como el GDPR y la Directiva NIS2.

Sin embargo, la capacidad de NIST para analizar, validar y puntuar cada vulnerabilidad está alcanzando su límite operativo. Esta sobrecarga ha derivado en retrasos y cuellos de botella, afectando la disponibilidad de información crítica para la toma de decisiones en seguridad.

Detalles Técnicos

El cambio anunciado por NIST implica que las vulnerabilidades catalogadas como de bajo impacto y baja prioridad dejarán de recibir una puntuación CVSS por defecto. Hasta la fecha, incluso los CVE menos críticos contaban con su correspondiente score, lo que permitía una evaluación más granular del riesgo.

– CVE afectados: Todos aquellos cuya evaluación preliminar determine una baja probabilidad de explotación, un impacto reducido en la confidencialidad, integridad o disponibilidad, o que afecten a componentes marginales.
– Vectores de ataque: Principalmente vulnerabilidades locales, fallos de validación de entrada en componentes no expuestos a Internet, o debilidades en funcionalidades poco utilizadas.
– Frameworks implicados: El proceso automatizado de la NVD asignaba CVSS v3.x a cada CVE, pero a partir de ahora solo se priorizarán los de criticidad media, alta y crítica.
– Herramientas de explotación: Aunque la mayoría de vulnerabilidades de baja prioridad no disponen de exploits públicos en Metasploit, Cobalt Strike u otros frameworks, la ausencia de scoring oficial podría dificultar el seguimiento de potenciales desarrollos futuros.
– TTPs MITRE ATT&CK: Las técnicas asociadas a estos CVE suelen alinearse con T1068 (Explotación de vulnerabilidad local) o T1204 (Ejecución de scripts por el usuario).

Impacto y Riesgos

La decisión de NIST puede tener consecuencias significativas para las operaciones de seguridad. Al dejar de puntuar vulnerabilidades de baja prioridad, se corre el riesgo de subestimar escenarios de ataque en los que una cadena de fallos menores podría ser explotada de forma combinada (técnicas de chaining). Esto podría dar lugar a lagunas en herramientas de gestión de vulnerabilidades, SIEM y plataformas de priorización de parches, que dependen de los scores CVSS para automatizar la remediación.

Además, en entornos regulados, la ausencia de una puntuación oficial puede dificultar la justificación ante auditorías de cumplimiento, especialmente en sectores críticos sujetos a NIS2 o frameworks internacionales como ISO 27001.

Medidas de Mitigación y Recomendaciones

Ante este escenario, los profesionales deben considerar las siguientes acciones:

1. Uso de fuentes alternativas: Complementar la información de la NVD con bases de datos de proveedores (Red Hat, Debian Security Tracker, Microsoft, etc.) o con servicios comerciales como Tenable, Rapid7 o Qualys, que pueden continuar asignando puntuaciones propias.
2. Evaluación interna: Implementar procesos de scoring interno, adaptando el CVSS a la realidad de la organización, teniendo en cuenta el contexto, exposición y criticidad del activo afectado.
3. Monitorización de exploits: Establecer alertas proactivas para la aparición de exploits en foros, repositorios públicos y plataformas como Exploit-DB o GitHub.
4. Revisión periódica: Actualizar políticas de gestión de vulnerabilidades y planes de respuesta para contemplar la carencia de puntuaciones en determinados CVE.

Opinión de Expertos

Expertos del sector, como Katie Moussouris (Luta Security) y Will Dormann (Analista de vulnerabilidades), han advertido que el ecosistema de seguridad no puede depender únicamente de la NVD para la gestión de riesgos. Señalan que la automatización basada en scoring puede inducir a falsas sensaciones de seguridad. «La ausencia de una puntuación no equivale a ausencia de riesgo», afirma Dormann, instando a las empresas a reforzar sus propios procesos de análisis.

Implicaciones para Empresas y Usuarios

Para las empresas, este cambio supone la necesidad de invertir en capacidades internas de análisis de vulnerabilidades y en herramientas que permitan una evaluación contextualizada del riesgo. Los usuarios avanzados y administradores de sistemas deberán prestar especial atención a las vulnerabilidades no puntuadas, evitando que queden fuera del radar de remediación.

A nivel de cumplimiento, los equipos de GRC (Gobierno, Riesgo y Cumplimiento) tendrán que ajustar sus informes y auditorías, justificando las decisiones tomadas en ausencia de un score CVSS oficial.

Conclusiones

La decisión de NIST de dejar de puntuar vulnerabilidades de baja prioridad marca un punto de inflexión en la gestión global de vulnerabilidades. Si bien responde a una sobrecarga operativa, obliga a la industria a madurar en sus procesos de análisis y priorización, alejándose de la dependencia exclusiva de datos centralizados. Las organizaciones deberán reforzar su inteligencia de amenazas y adoptar un enfoque holístico para mantener sus niveles de seguridad y cumplimiento.

(Fuente: www.bleepingcomputer.com)