NIST NVD audit: 27.000 CVE in backlog, $200.000 sprecati

NIST NVD audit: 27.000 CVE in backlog, $200.000 sprecati

Un audit del Department of Commerce Office of Inspector General, reso pubblico il 29 maggio 2026, documenta in modo sistematico come il National Institute of Standards and Technology abbia gestito in modo inefficace il National Vulnerability Database per mancanza di pianificazione strategica, processi di enrichment obsoleti e duplicazione interagenzia con la CISA. Il risultato è un backlog di oltre 27.000 vulnerabilità non arricchite, un dato che mina la capacità di difensori e strumenti di valutare rischio e priorità di patch in modo coerente.

Il collasso del 2024: due anni di preavviso, zero contromisure

La crisi attuale ha origine nel febbraio 2024, quando il contratto di supporto per l'enrichment delle vulnerabilità è scaduto. Secondo l'audit OIG, citato da Help Net Security, NIST aveva due anni di preavviso sulla necessità di un nuovo contractor ma non ha avuto un sostituto pronto in tempo. Il programma NVD è rimasto senza personale adeguato fino a fine novembre 2024, lasciando il database in stato di stallo per quasi dieci mesi.

A giugno 2024 il conteggio delle vulnerabilità in attesa di arricchimento era di circa 13.000. Entro fine 2025 la cifra aveva più che raddoppiato, superando le 27.000 unità. L'OIG proietta che nel 2026 le vulnerabilità segnalate annualmente supereranno le 60.000, un aumento di quasi dieci volte rispetto a un decennio prima. L'agenzia ha confermato di non possedere un piano strategico per il NVD, ammettendo la carenza davanti agli investigatori.

"We project that in 2026 the yearly total of reported vulnerabilities will surpass 60.000. This represents a nearly tenfold increase from a decade ago, further challenging NIST's ability to resolve the backlog" — US Department of Commerce Office of Inspector General (OIG)

L'enrichment come collo di bottiglia manuale

Il meccanismo centrale del fallimento è il pipeline di arricchimento CVE. NIST riceve le segnalazioni grezze da MITRE, quindi dovrebbe aggiungere metadati strutturali: punteggi CVSS, identificatori CWE, tag CPE per i prodotti affetti e contesto operativo. Secondo CyberScoop, circa l'80% del carico di lavoro degli analisti si concentrava su due compiti: il calcolo dei severity score e l'identificazione dei prodotti affetti. Contestualmente, circa l'80% delle sottomissioni di vulnerabilità includeva già uno severity score dalla parte sottomittente, rendendo gran parte del lavoro NIST ridondante a monte.

La qualità dell'output era altrettanto problematica. I severity score di NIST corrispondevano a valutatori indipendenti solo nel 12% dei casi, secondo quanto riportato da CyberScoop. NIST si era pubblicamente impegnata a eliminare il backlog entro settembre 2024 con un obiettivo di 6.200 vulnerabilità al mese, ma l'agenzia non aveva mai processato più di 5.000 al mese in passato. L'impegno era matematicamente irrealizzabile con l'architettura esistente.

La duplicazione NIST-CISA: stesso contractor, stesse vulnerabilità

Una delle finding più eclatanti dell'audit riguarda la sovrapposizione con CISA. Nel maggio 2024 CISA ha lanciato Vulnrichment, un programma parallelo di arricchimento CVE, senza coordinamento con NIST. Entrambe le agenzie utilizzavano lo stesso contractor governativo e spesso completavano gli stessi task sulle stesse vulnerabilità. L'OIG ha rilevato almeno 21.000 casi di lavoro duplicato tra maggio 2024 e dicembre 2025, con uno spreco stimato di circa 200.000 dollari. CyberScoop aggiunge che NIST stima un risparmio di 800.000 dollari in due anni semplicemente cessando di calcolare autonomamente i severity score.

La mancata divisione dei compiti tra le due agenzie ha aggravato un problema già strutturale. CISA non ha rinnovato il supporto finanziario per il programma NVD nel 2024, spingendo NIST in una crisi di risorse che l'agenzia non ha saputo gestire con riorganizzazione o automazione. Il risultato è stata una competizione per risorse scarse invece di una complementarietà funzionale.

L'abdicazione all'universalità: la nuova policy di aprile 2026

La risposta di NIST all'impasse è stata un de-facto abbandono del ruolo di arricchitore universale. Ad aprile 2026 l'agenzia ha annunciato che arricchirà solo sottoinsiemi ad alto rischio: vulnerabilità presenti nel Known Exploited Vulnerabilities catalog di CISA, software governativo, e software ritenuto critico per l'Executive Order 14028. NIST smetterà di calcolare routine severity score propri, affidandosi a quelli delle CVE Numbering Authorities. Le restanti vulnerabilità dovranno ricevere metadati dal mercato privato o restare con dati grezzi.

Secondo Dustin Childs, head of threat awareness a Trend Micro's Zero Day Initiative, citato da CyberScoop a proposito della decisione di aprile: "They had to do something. NIST was woefully behind on classifying CVEs and would likely never have caught up". Childs ha aggiunto: "I'm not sure if it was a herculean task or a sisyphean one, but either way, they were set up for failure under their previous system".

La policy segna una discontinuità nell'architettura del vulnerability management globale. Il NVD, istituito nel 2005 come repository centrale, funzionava da layer di trust unificato sopra il feed grezzo MITRE. La sua erosione spinge tool di scanning, piattaforme di prioritizzazione patch e framework di compliance federale verso fonti alternative — VulnCheck, servizi europei, dati proprietari dei vendor — con rischio di frammentazione semantica su cosa costituisca una vulnerabilità "arricchita" affidabile.

Perché è importante

Il dossier non specifica l'impatto operativo concreto della nuova policy di prioritizzazione sui tool di vulnerability management esistenti, né dettaglia lo stato attuale di implementazione delle sei raccomandazioni OIG accettate da NIST. La reazione specifica di CISA alle finding di duplicazione non è documentata nel brief, così come l'esito potenziale del NVD Consortium annunciato nel 2024.

La fonte non chiarisce inoltre come la transizione a un modello selettivo influirà sulla fedeltà storica dei dati NVD: le serie temporali di CVSS, CPE e CWE sono input standard per modelli di risk quantification e per requisiti normativi. Un cambio di copertura sistematico introduce discontinuità metodologiche che i consumatori di dati dovranno gestire autonomamente. Il brief non elenca mitigazioni per questo effetto.

NIST deve presentare un piano d'azione formale all'OIG entro il 25 luglio 2026. La verifica del contenuto e della consistenza di quel piano non è al momento disponibile nelle fonti esaminate.

FAQ

Le vulnerabilità nel backlog sono invisibili o non tracciabili?

No. Le CVE esistono nel feed MITRE; manca l'enrichment NVD (CVSS, CWE, CPE). Il problema è la qualità e completezza dei metadati, non la tracciabilità base.

CISA Vulnrichment sostituisce completamente il NVD?

No. I due programmi sono sovrapposti, non sostitutivi. Coprono entrambi l'arricchimento ma senza coordinamento, generando duplicazione invece di complementarietà.

Il problema è tecnico (bug, breach) o gestionale?

L'audit evidenzia governance e pianificazione: mancanza di strategia, processi manuali non scalabili, transizione contrattuale fallita. Non è un incidente di sicurezza informatica nel senso convenzionale.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.helpnetsecurity.com/2026/06/01/nist-nvd-management-problems/
• https://cyberscoop.com/nist-nvd-audit-mismanagement-duplication/
• https://cyberscoop.com/nist-narrows-cve-analysis-nvd/
• https://www.helpnetsecurity.com/2024/04/03/nvd-nist-support-solutions/
• https://www.helpnetsecurity.com/2024/11/14/nist-nvd-backlog/
• https://www.helpnetsecurity.com/2024/05/09/cisa-vulnrichment-cve-enrichment/
• https://www.helpnetsecurity.com/2026/04/16/nist-national-vulnerability-database-nvd-enrichment/