Críticos estão acusando grandes empresas de tecnologia, incluindo a Juniper Networks e a Ivanti, de não seguir as regras no que diz respeito ao registro de vulnerabilidades com as autoridades apropriadas.

Ambas as empresas atraíram críticas de membros da indústria de cibersegurança pela forma como lidaram com a divulgação de vulnerabilidades na última semana. A Juniper Networks foi acusada de corrigir falhas de segurança sem divulgá-las como vulnerabilidades independentes, enquanto a Ivanti foi criticada por aparentemente agrupar várias vulnerabilidades sob um único ID de Vulnerabilidades e Exposições Comuns (CVE).

Vulnerabilidades sérias o suficiente para exigir correção geralmente precisam ser registradas com uma Autoridade de Numeração CVE (CNA) e adicionadas ao programa CVE. Aliz Hammond, pesquisador de cibersegurança, relatou uma série de problemas de segurança à Juniper no final de 2023. A empresa investigou e pediu a Hammond que atrasasse a divulgação dos detalhes além da janela típica de 90 dias da watchTowr para que as correções pudessem ser publicadas primeiro.

Hammond afirma ter encontrado quatro vulnerabilidades incluídas no último lote de correções da Juniper que não parecem ter recebido IDs de CVE, incluindo uma vulnerabilidade de autenticação ausente.

A Ivanti também foi criticada por suas práticas de divulgação. Um pesquisador que investigava os zero-days explorados disse ter descoberto que, para o CVE-2024-21887, que leva à execução remota de código (RCE), eles poderiam encontrar pelo menos cinco vulnerabilidades diferentes de injeção de comando sob um único ID de CVE registrado. A Ivanti respondeu dizendo que havia várias vulnerabilidades listadas sob o mesmo CVE, mas essas vulnerabilidades serão todas abordadas pela mesma correção.