Het aantal CVE-meldingen blijft in 2025 stijgen. Inmiddels is er een gemiddelde van 131 per dag. De KEV-lijst met kritieke kwetsbaarheden groeit zelfs explosief. De veiligheidssituatie verslechtert, ondanks plannen voor diversificatie van het systeem.
Terwijl de bedreigingen toenemen, ontstaat er onzekerheid over de toekomst van het CVE-systeem. Het programma draait momenteel volledig op Amerikaanse overheidsfinanciering, maar alternatieve initiatieven dienen zich aan. ENISA’s EUVD en het Global CVE Allocation System (GCVE) zijn voorbeelden van deze ontwikkelingen.
Hoewel diversificatie de beschikbaarheid en veerkracht kan verbeteren, roept fragmentatie praktische vragen op. Onderzoekers en securityprofessionals weten straks niet meer waar ze een kwetsbaarheid moeten rapporteren. Ook wordt het integreren en correleren van kwetsbaarheidsdata uit verschillende bronnen met verschillende identifiers een uitdaging.
Stijgende trend zet door
De cijfers van de eerste helft van 2025 tonen aan dat de stijging van CVE-publicaties geen tijdelijk fenomeen is. Waar 2024 gemiddeld 113 CVE’s per dag zag, ligt dit jaar het tempo op 131 meldingen per dag. Deze ontwikkeling suggereert dat 2025 het recordaantal van ruim 40.000 CVE’s uit 2024 zal overschrijden.
De diversiteit aan leveranciers neemt ook toe. Het aantal unieke leveranciers in de KEV-lijst steeg van 45 in de eerste helft van 2024 naar 61 dit jaar. Netwerkgerelateerde apparatuur vormt een groeiend deel van de bedreigingen, met een stijging van 22,5% naar 25%.
Explosieve groei van KEV-kwetsbaarheden
Nog zorgwekkender is de steile toename van Known Exploited Vulnerabilities (KEV’s). Deze lijst bevat kwetsbaarheden die actief worden misbruikt door aanvallers. De groei gaat verder dan alleen de piek in maart – er is sprake van een algemene, scherpe stijging.
Een positief punt is dat de oudste CVE’s die dit jaar aan de KEV-lijst zijn toegevoegd, dateren uit 2017. In 2024 werden nog kwetsbaarheden uit 2012 toegevoegd. Toch blijft het verontrustend dat kwetsbaarheden jarenlang onopgemerkt kunnen blijven, zoals recent nog bleek bij een sudo/chroot-probleem dat meer dan 12 jaar bestond.
Tip: Europa komt met eigen securitydatabase na CVE-onzekerheid