Common Vulnerabilities and Exposures (Vulnerabilidades Comuns e Exposições) ou simplesmente CVE, é um sistema usado para catalogar e padronizar vulnerabilidades de segurança cibernética divulgadas publicamente
Cada CVE recebe um número único que permite a profissionais e pesquisadores referenciar e discutir uma vulnerabilidade específica, como fizemos recentemente com o Backdoor XZ (CVE-2024-3094).
O sistema CVE é administrado pelo Centro de Pesquisa e Desenvolvimento em Cibersegurança Nacional, gerenciado pela Mitre Corporation, com suporte financeiro da Divisão Nacional de Segurança Cibernética do Departamento de Segurança Interna dos EUA.
O sistema está publico e disponível desde 1999 e por curiosidade o o primeiro CVE registrado, o CVE-1999-0001, estava relacionado a um problema de buffer overflow no servidor FTP da Solaris 2.5.
O Sistema nos permite fazer consultas através do site https://cve.mitre.org/cve/search_cve_list.html e está sendo migrado para o https://www.cve.org/.
Os nossos adversários também seguem os CVEs e se aproveitam dessas novas vulnerabilidades publicadas e que muitas vezes podem demorar para serem corrigidas par então explorar essa vulnerabilidades, Muitas vezes a documentação vem acompanhada de muitos detalhes valiosos para os atacantes.
É importante acompanhar quais são os CVEs mais atuais mas também fazer uma varredura no sistema para ter certeza que não estamos deixando nada para traz.
Um exemplo é a conta do Twitter @CVEnew que apresenta todos os novos CVEs publicados.
Temos também como auxiliar o Common Vulnerability Scoring System (CVSS) que fornece uma pontuação numérica que pode ser traduzida numa representação qualitativa (como baixa, média, alta e crítica) para ajudar as organizações a avaliar e priorizar adequadamente os seus processos de gestão de vulnerabilidades.
CVSS, CWSS?
CVSS – Common Vulnerability Scoring System é um sistema de pontuação ajuda a determinar a severidade e as prioridades de resposta para vulnerabilidades de segurança. Podemos consultar em https://first.org/cvss/
CWSS – Common Weakness Scoring System fornece um mecanismo para priorizar os pontos fracos do software. O CWSS faz parte do projeto Common Weakness Enumeration (CWE), co-patrocinado pelo programa Software Assurance no escritório de Segurança Cibernética e Comunicações do Departamento de Segurança Interna dos EUA (DHS) https://cwe.mitre.org/cwss/cwss_v1.0.1.html
Como reportar um CVE?
- Descoberta de Vulnerabilidades: Tudo começa quando pesquisadores de segurança ou usuários descobrem falhas em softwares que podem ser exploradas para realizar ataques.
Um bom exemplo é o do vídeo Docker Hub: https://hub.docker.com/ e encontrar uma aplicação publica e open source para iniciar os testes. - Reporte e Análise: Essas vulnerabilidades são então reportadas a organizações como MITRE https://cveform.mitre.org/
- Atribuição de um ID CVE: Uma vez confirmada, a vulnerabilidade é catalogada com um ID CVE único.
- Disseminação da Informação: Detalhes sobre a vulnerabilidade, junto com recomendações para mitigação ou correção, são publicados para que o público e os profissionais da área possam acessar e agir.
Mais recursos
- CVE Trends – https://cvetrends.com
- CVE (Common Vulnerabilities and Exposures) – https://www.cve.org/Downloads
- CVE Premium (CIRCL) – https://cvepremium.circl.lu/
Seja o primeiro a comentar