NIST sætter gamle CVE-sårbarheder på hold

Eskil Sørensen

04.10.2025 12:25

Vurderinger af gamle sikkerhedssårbarheder bliver nedprioriteret.

Amerikanske NIST (National Institute of Standards and Technology) har meddelt, at alle CVE’er (Common Vulnerabilities and Exposures) udgivet før 1. januar 2018, vil blive markeret som 'udsat' i National Vulnerability Database (NVD). Dette betyder, at NIST ikke længere vil prioritere opdateringer af berigelsesdata for disse gamle sårbarheder, medmindre de findes i CISA's Known Exploited Vulnerabilities (KEV)-katalog. Det skriver SC World.

Stigende mængde CVE’er

Beslutningen er truffet på baggrund af en stigende mængde nye sårbarheder, der skal håndteres, samt en øget fokus på at adressere de mest aktuelle trusler. NIST kæmper dagligt med en voksende tilbagevendende liste af sårbarheder, ligesom det naturligvis også er en udfordring, at der skæres voldsomt i den offentlige administration. SCWorld fortæller, at NIST ”ser ind i” en potentiel nedskæring på 500 medarbejdere.

Ændringen i sårbarhedsarbejdet er således et skridt mod at optimere ressourcerne i NIST og sikre, at de nyeste og mest kritiske sårbarheder bliver håndteret hurtigst muligt. Men NIST skriver i sin meddelelse på den anden side også, at de stadig ”vil modtage og gennemgå anmodninger om at opdatere metadata..” "Hvis nye oplysninger tydeligt peger på, at en opdatering af berigelsesdata for CVE'en er hensigtsmæssig, vil vi fortsat prioritere disse anmodninger efter behov og ressourcer", hedder det.

Spørgsmålet om ressourcer er naturligvis på manges læber i USA i øjeblikket, hvor DOGE med Elon Musk i spidsen fyrer medarbejdere i den offentlige sektor, samtidig med at forskellige retsinstanser vurderer lovligheden i afskedigelserne. Hvordan det ender med NIST, er ligesom i mange andre sektorer uklart.

Udgør fortsat en risiko

Selvom NIST skærer ned ift. opdateringer af oplysninger om gamle CVE-sårbarheder, betyder dette ikke, at sårbarhederne ikke udgør en risiko. Organisationer bør fortsat vurdere og håndtere gamle sårbarheder i deres systemer, hedder det i artiklen, hvilket DKCERT naturligvis er enig i, set i lyset af at gamle og glemte sårbarheder i mange tilfælde er vejen ind for trusselsaktører.

NISTs beslutning kan derfor også ses som en slet skjult opfordring til at håndtere de gamle sårbarheder en gang for alle.

Læs mere

https://www.scworld.com/news/nist-marks-all-cves-prior-to-jan-1-2018-as-deferred

Information