Нещодавно виявлена ​​вразливість CVE-2022-28958, додана агентством CISA до каталогу відомих вразливостей, що експлуатуються (Known Exploited Vulnerability, KEV ), була офіційно визнана помилковою і видалена з каталогу. Таке рішення надійшло після того, як база NVD анулювала статус CVE як «уразливості» після багатомісячного перегляду.

Спочатку думали, що вразливість є критичною помилкою віддаленого виконання коду (Remote Code Execution, RCE ) з оцінкою CVSS: 9.8 в застарілому маршрутизаторі D-Link (DIR-816L). Однак з’ясувалося, що насправді вона не впливає на системи.

Компанія VulnCheck охарактеризувала CVE-2022-28958 як «не справжню вразливість». Фірма виявила помилку в доказі концепції (Proof of Concept, PoC), що вказує на неправильний пункт, що не дозволяло досягти віддаленого виконання коду за допомогою вразливості.

У VulnCheck підкреслили, що початкове розкриття вразливості помилково переконало MITRE , NVD та CISA у її важливості. Навіть зловмисники, які включили цю помилку у можливості ботнета Moobot, виявили, що вона не працює. За словами VulnCheck, масштабного використання нестачі ніколи не було. Вразливість не повинна бути включена до списку MITRE та каталогу KEV CISA.

Важливо відзначити, що дві інші помилки, CVE-2022-28955 і CVE-2022-28956, представлені VulnCheck, як і раніше, вважаються вразливими і не були відхилені. Однак, за словами VulnCheck, перший недолік має низький вплив на безпеку або зовсім без нього, а другий є реальною проблемою, але є дублікатом чотирьох інших CVE.

Постачальник аналізу інтернет-трафіку Greynoise заявив, що припинить відстежувати CVE-2022-28958, незважаючи на те, що кілька спроб використання експлойтів все ще робляться. У Greynoise зазначили, що «помилкові» вразливості можуть призвести до непотрібних тривог та виділення ресурсів у спільноті кібербезпеки, а також можуть підірвати довіру до систем звітності та каталогізації, які мають вирішальне значення для ефективного управління вразливістю.