VulnCheck Exploit & Vulnerability Intelligence는 벤더 권고문을 모니터링하거나 익스플로잇을 발견한 경우, NIST가 NVD에 아직 게시하지 않은 CVE에 대한 조기 접근 정보를 제공하는 경우가 많습니다.
VulnCheck Exploit & Vulnerability Intelligence는 수백 개의 벤더 및 정부 권고문을 추적하는 자율 시스템이며, 해당 데이터를 VulnCheck의 최고 수준 익스플로잇 인텔리전스와 결합합니다. NIST가 National Vulnerability Database(NVD)에 게시하는 CVE 레코드에는 게시 지연이 발생하는 경우가 많습니다. VulnCheck Exploit & Vulnerability Intelligence는 NVD뿐만 아니라 훨씬 더 많은 소스를 모니터링하여, 조직이 NIST의 NVD 게시 이전에 향후 CVE에 대한 사전 경고를 받을 수 있도록 합니다.
종종 CVE 번호 할당 기관(CNA)이 벤더 권고문이나 블로그 게시물을 통해 CVE를 공개하지만, NIST는 아직 해당 CVE 레코드를 NVD에 게시하지 않은 경우가 있습니다. 이러한 경우 NVD에서는 해당 CVE가 여전히 RESERVED로 표시되는 경우가 많은데, 이는 CVE가 CNA에 블록으로 할당되지만 NIST가 NVD에 게시하기 전까지 공개 도메인에서 이미 사용되는 경우가 있기 때문입니다.
VulnCheck Exploit & Vulnerability Intelligence가 CNA와 같은 벤더 권고문을 모니터링하는 경우, VulnCheck 고객은 NIST NVD 게시 지연으로 인한 불이익을 겪지 않습니다. VulnCheck는 모니터링된 벤더 및 익스플로잇 출처에 대한 CVE 참조를 포함할 수 있으며, 이는 NIST가 NVD에서 해당 CVE를 RESERVED로 표시했거나 아직 NIST에 의해 게시되지 않은 CVE에도 해당됩니다.
PwnKit 취약점(CVE-2021-4034)은 Qualys 연구팀에 의해 발견되어 2022-01-25에 공개되었습니다. 같은 날(2022-01-25), Debian과 Red Hat 등 여러 벤더 권고문이 게시되었습니다. 실제로 Red Hat은 해당 CVE의 CVE 번호 할당 기관(CNA)이었습니다.
또한, 여러 익스플로잇이 같은 날(2022-01-25)에 GitHub 등에서 공개되었습니다.
NIST National Vulnerability Database는 원래 PwnKit(CVE-2021-4034) 취약점 레코드를 NVD에 2022-01-28에 게시했습니다. 따라서 NVD에만 의존하는 조직은 해당 취약점 공개 및 실제 악용(익스플로잇)에 대해 3일 동안 인지하지 못했을 것입니다.