Cosa sono le Common Vulnerabilities and Exposures (CVE)

Redazione RHC : 10 Aprile 2023 09:37

L’obiettivo principale della sicurezza informatica è la gestione delle vulnerabilità. Nel raggiungere questo obiettivo, la CVE aiuta gli specialisti, che sono parte integrante della comunità della sicurezza delle informazioni. 

Sicuramente, se sei un lettore di RHC avrai già sentito questo acronimo, ma nello specifico, cosa significa? 

In questo articolo, esamineremo la definizione e la storia del CVE e come questo indicatore viene utilizzato dai criminali informatici e dagli hacker etici.

Cos’è CVE?

L’abbreviazione CVE sta per Common Vulnerabilities and Exposures ed è un database di vulnerabilità di sicurezza delle informazioni comunemente note. Il sistema è attivamente supportato dai centri di ricerca e sviluppo finanziati a livello federale (FFRDC) gestiti dalla MITRE Corporation. 

Poiché MITRE è un’organizzazione senza scopo di lucro, il CVE è finanziato dalla National Cyber ​​​​Security Division (NCSD) degli Stati Uniti D’America.

La differenza tra vulnerabilità e impatti.

Le vulnerabilità sono difetti di sistema che creano punti deboli all’interno di una infrastruttura informatica che possono essere sfruttati da un malintenzionato. 

Le vulnerabilità possono derivare da qualsiasi cosa, dal software senza patch a una porta USB non protetta. Le vulnerabilità potrebbero consentire a un utente malintenzionato di:

• accedere alla memoria di sistema;
• installare malware;
• eseguire codice dannoso;
• rubare, distruggere o modificare dati riservati. 

Un semplice errore consente un attacco informatico a un’organizzazione. Ciò può includere il furto di dati sensibili, che vengono poi venduti nel dark web. 

La maggior parte degli incidenti informatici sono causati da bug di sicurezza e successivi exploit divenuti pubblici.

Storia del sistema CVE.

Il concetto originale del database CVE ha avuto origine in un white paper del 1999 intitolato “Towards a Common Enumeration of Vulnerabilities”, scritto da Steven M. Christie e David E. Mann della MITRE Corporation.

Christie e Mann hanno riunito un gruppo di lavoro di 19 specialisti e hanno compilato un elenco di CVE iniziale di 321 voci. 

Nel settembre 1999 il registro è diventato pubblicamente disponibile. Dal lancio del CVE nel 1999, diverse società di sicurezza delle informazioni si sono aggiunte all’elenco delle vulnerabilità. A dicembre 2000, 29 organizzazioni partecipavano all’iniziativa con 43 bug di sicurezza.

CVE è stato utilizzato come punto di partenza per il NIST National Vulnerability Database (NVD). 

Il CVE si espande con ogni organizzazione che entra a far parte di MITRE come collaboratore. Un elenco completo dei partner può essere trovato su CVE.org .

Come vengono determinati i CVE?

Tutti i CVE sono difetti di sicurezza, ma non tutti i difetti sono CVE. 

Un difetto è dichiarato da un CVE quando soddisfa tre criteri specifici:

• Il difetto può essere corretto separatamente da eventuali altri errori;
• Il fornitore del software ha riconosciuto e documentato la vulnerabilità come dannosa per la sicurezza dell’utente;
• Il bug interessa una singola base di codice. Alle carenze che interessano più prodotti vengono assegnati più CVE.

Cosa sono le CNA

A parte il MITRE, la numerazione delle CVE può essere anche “battezzata” da altre realtà che vengono chiamate CVE Numbering Authorities (CNA).

A ciascuna vulnerabilità CVE viene assegnato un numero (CVE Identifier o CVE ID) da una delle 222 (ad oggi) CVE Numbering Authorities (CNA) di 34 paesi.

Secondo il MITRE, le CNA sono rappresentate da organizzazioni che vanno da fornitori di software e progetti open source a fornitori di servizi di ricerca di bug e gruppi di ricerca. 

Tutte queste organizzazioni hanno il diritto di assegnare identificatori CVE e pubblicarne i record come parte del programma CVE. Nel corso degli anni, aziende di vari settori hanno aderito al programma CNA. I requisiti per l’ingresso sono minimi e non richiedono un contratto o un contributo monetario.

Lo standard internazionale per gli identificatori CVE è CVE-xxxx-yyyyy. [xxxx] — anno in cui è stata scoperta la vulnerabilità. [yyyyy] è il numero di serie assegnato dai rispettivi CNA.

Quanti CVE ci sono?

Migliaia di nuove vulnerabilità vengono pubblicate ogni anno da quando il programma è stato fondato nel 1999. 

Al momento in cui scriviamo, ci sono già 178.569 voci nell’elenco CVE. Questo ha una media di 7.763 vulnerabilità e impatti all’anno.

Degli oltre 178.000 CVE, più della metà è di proprietà dei primi 50 fornitori di software in tutto il mondo. Ad esempio, Microsoft e Oracle hanno segnalato oltre 6.000 difetti nei loro prodotti.

Perché il programma CVE è importante?

Il database CVE è stato creato per facilitare lo scambio di informazioni sulle vulnerabilità note tra le organizzazioni. 

Gli identificatori CVE consentono al professionista della sicurezza informatica di trovare facilmente informazioni sui difetti in diverse fonti autorevoli utilizzando lo stesso identificatore di vulnerabilità.

Inoltre, CVE fornisce una solida base per consentire a un’azienda di comprendere la necessità di investire in una maggiore sicurezza. Un’organizzazione può ottenere rapidamente informazioni accurate su un particolare exploit da più fonti certificate, consentendole di assegnare correttamente la priorità di riparazione.

I criminali informatici possono utilizzare CVE?

Una volta che una vulnerabilità diventa di dominio pubblico, un criminale informatico ha tutti il tempo per sfruttarla in scopi dannosi. Un utente malintenzionato può sfruttare un bug prima che venga corretto dal fornitore del software.

La condivisione delle informazioni nella comunità della sicurezza informatica è un modo affidabile per ridurre il numero di attacchi informatici e introdurre nuove soluzioni di sicurezza informatica. 

Il CVE è un elemento necessario nel percorso verso il miglioramento dei prodotti e il mantenimento della protezione degli utenti e delle aziende globali e si basa su etica e trasparenza.

Se hai un mano uno 0-day, pensa sempre a questo.