Vulnerabilidades Chinesas em Ascensão: Análise dos Bancos de Dados Nacionais de Vulnerabilidades

A Bitsight analisou os dois bancos de dados nacionais de vulnerabilidades da China—CNNVD, supervisionado pelo Ministério da Segurança do Estado, e CNVD, operado pela CNCERT—e descobriu que, embora espelhem amplamente as publicações do CVE, aproximadamente 1.400 entradas foram publicadas nos bancos de dados chineses antes de se tornarem públicas no CVE, muitas vezes com vários meses de antecedência. Essa descoberta aponta para potenciais pontos cegos nos ecossistemas de vulnerabilidades ocidentais.

Os regulamentos RMSV de 2021 da China intensificaram os controles de divulgação de vulnerabilidades domésticas, incluindo a notificação obrigatória ao governo em 48 horas e a proibição de compartilhamento de PoC exploits. Houve um declínio notável nas publicações de vulnerabilidades não-CVE do CNVD após o regulamento, embora o CNNVD tenha observado um ressurgimento recente. Líderes de segurança devem considerar esses potenciais pontos cegos nos ecossistemas de vulnerabilidades ocidentais, pois algumas entradas dos bancos de dados chineses não possuem equivalentes CVE e podem representar vulnerabilidades desconhecidas para defensores ocidentais.