El concepto de CVE

Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de las fallas de seguridad informática que está disponible al público. Cuando alguien habla de un CVE, se refiere a una falla a la cual se le asignó un número de identificación de CVE.

Las advertencias de seguridad que emiten los proveedores y los investigadores casi siempre mencionan al menos uno de estos identificadores. Los CVE permiten que los especialistas de TI coordinen sus iniciativas para priorizar y solucionar los puntos vulnerables a fin de reforzar la seguridad de los sistemas informáticos.

En 1999, MITRE Corporation, una empresa de investigaciones y desarrollo financiada por el gobierno, creó el sistema CVE, un estándar uniforme para informar y realizar un seguimiento de los errores de seguridad del software.

Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre los riesgos, el impacto o las soluciones. Ese tipo de información aparece en otras bases de datos, como la National Vulnerability Database (NVD) de Estados Unidos, la CERT/CC Vulnerability Notes Database y diversas listas que mantienen los proveedores y otras empresas.

Estos identificadores de CVE permiten que los usuarios reconozcan de manera confiable puntos vulnerables únicos y coordinen el desarrollo de soluciones y herramientas de seguridad en los diferentes sistemas. MITRE Corporation mantiene la lista de CVE, pero suelen ser las empresas y los integrantes de la comunidad open source los que notifican las fallas de seguridad que se convierten en CVE.

Los identificadores de CVE

Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los identificadores. Hay aproximadamente 100 CNA, que incluyen empresas de seguridad e investigación y los proveedores de TI más importantes, como Red Hat, IBM, Cisco, Oracle y Microsoft.MITRE también puede emitir los CVE directamente.

Las CNA reciben bloques de identificadores de CVE y los reservan para asignarlos a los problemas nuevos a medida que se descubren. Cada año se emiten miles de identificadores de CVE. Un solo producto complejo, como un sistema operativo (SO), puede acumular cientos de CVE. Esto significa que estará expuesto a riesgos una vez que se inicien la etapa del fin del período de mantenimiento (cuando se dejen de implementar las correcciones de errores y ya no se apliquen los parches de seguridad) y la etapa del final de la vida útil (cuando ya no se proporcione soporte de primera mano). Por ejemplo, cuando CentOS Linux 7 llegó al período del final de la vida útil el 1 de julio de 2024, se anunció un CVE nuevo al día siguiente. Esto destaca la importancia de una migración a un SO estable que reciba actualizaciones y parches de seguridad regularmente.

Realiza la migración desde CentOS Linux a Red Hat Enterprise Linux

Cualquier persona (un proveedor, un investigador o un usuario astuto) puede descubrir una falla en la seguridad y notificarla. Muchos proveedores ofrecen recompensas por detectar errores de seguridad para incentivar su divulgación responsable. Si encuentras un punto vulnerable en los sistemas de software open source, debes notificarlo a la comunidad pertinente.

La información de la falla llegará a la CNA de uno u otro modo. Luego la CNA le asignará un identificador de CVE y lo publicará en la página web.

La CNA suele asignar un identificador antes de publicar la advertencia de seguridad. Es muy común que los proveedores mantengan las fallas de seguridad en secreto hasta que hayan desarrollado y probado una solución que evite que los atacantes se aprovechen de los errores sin parches.

Una vez que se publica una entrada de CVE, se incluye el número de identificación (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable, y las referencias, las cuales pueden contener enlaces a recomendaciones e informes sobre el punto vulnerable.

Según las reglas que aparecen en CVE Numbering Authority (CNA) Operational Rules, los identificadores de CVE se asignan a los errores que cumplen con ciertos criterios:

• Se pueden solucionar de forma independiente.
  La falla puede solucionarse independientemente de las demás.
• El proveedor afectado las confirma o las documenta.
  El proveedor de software o hardware reconoce la existencia del error y confirma su impacto negativo en la seguridad. O bien, la persona que notificó el punto vulnerable compartió un informe que demuestra que tiene un impacto negativo y que infringe la política de seguridad del sistema perjudicado.
• Afectan a solo una base de código.
  Si una falla compromete a más de un producto, cada uno de ellos recibe un CVE independiente. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, se asigna un CVE único a cada producto o base de código afectados.

Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es con el sistema común de calificación de los puntos vulnerables (CVSS): un conjunto de estándares abiertos que permite otorgarles una puntuación según su gravedad. La NVD, el CERT y otras entidades usan las puntuaciones del CVSS para evaluar el impacto de los puntos vulnerables. El rango de puntuación oscila entre 0 y 10, y las cifras más altas representan mayor nivel de gravedad. Muchos proveedores de seguridad crean sus propios sistemas de calificación.

Tres recomendaciones

Conoce tus implementaciones: la existencia de un CVE no significa que el riesgo afecte a tu implementación y entorno específicos. Asegúrate de leer cada CVE para comprobar que sea relevante (de forma total o parcial) para el sistema operativo, las aplicaciones, los módulos y las configuraciones de tu entorno.

Aplica la gestión de los puntos vulnerables:la gestión de los puntos vulnerables es un proceso constante que permite identificarlos, clasificarlos, priorizarlos, solucionarlos y reducirlos. Para ello, es necesario comprender la forma en que cierto riesgo puede afectar a tu empresa, ya que así podrás darles prioridad a los puntos vulnerables destacados que debas solucionar.

Prepárate para comunicar la información:los CVE no solo afectarán los sistemas de tu empresa debido a los propios puntos vulnerables, sino también al tiempo de inactividad que se pudiera requerir para solucionarlos. Ponte en contacto y trabaja con los clientes internos y comparte los puntos vulnerables con todas las unidades centrales de gestión de riesgos de tu empresa.

Abordaje de los CVE en Red Hat

Red Hat es uno de los principales colaboradores de los sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Además, es una de las CNA y utiliza los identificadores para hacer un seguimiento de los puntos vulnerables de seguridad. Red Hat Product Security mantiene una base de datos pública de las actualizaciones de seguridad que se actualiza con frecuencia y puede consultarse por número de CVE.

Red Hat Product Security brinda acceso a la información sin procesar en el Portal de clientes Red Hat en un formato que pueden utilizar las máquinas que poseen Security Data API (interfaz de programación de aplicaciones).

Los clientes pueden aprovechar estos datos junto con los indicadores y los informes de seguridad que genera Red Hat para diseñar parámetros propios que se apliquen a sus casos particulares.

Los datos que ofrece Security Data API incluyen las definiciones del estándar Open Vulnerability and Assessment Language (OVAL), los documentos de Common Vulnerability Reporting Framework (CVRF) y los datos de los CVE. Esta información está disponible en los formatos XML o JSON.