Los CVE

Publicado 25 de noviembre de 20215 minutos de lectura
Copiar URL

Resumen

Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de las fallas de seguridad informática que está disponible al público. Cuando alguien habla de un CVE, se refiere a una falla a la cual se le asignó un número de identificación de CVE.

Las advertencias de seguridad que emiten los proveedores y los investigadores casi siempre mencionan al menos uno de estos identificadores. Los CVE permiten que los especialistas en TI coordinen sus iniciativas para priorizar y solucionar los puntos vulnerables, a fin de reforzar al máximo la seguridad de los sistemas informáticos.

 

Mejora la seguridad de la nube híbrida

Funcionamiento del sistema de CVE

En 1999, MITRE Corporation, una empresa de investigación y desarrollo financiada por el gobierno de EE. UU., creó el sistema CVE, un estándar uniforme para informar los errores de seguridad del software y realizar un seguimiento de ellos. 

Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre los riesgos, el impacto o las soluciones. Ese tipo de información aparece en otras bases de datos, como la National Vulnerability Database (NVD) de Estados Unidos, la CERT/CC Vulnerability Notes Database y diversas listas que mantienen los proveedores y otras empresas.

Estos números de identificación de CVE permiten que los usuarios reconozcan de manera confiable puntos vulnerables únicos y coordinen el desarrollo de soluciones y herramientas de seguridad en los diferentes sistemas. MITRE Corporation mantiene la lista de CVE, pero suelen ser las empresas y los miembros de la comunidad open source los que notifican las fallas de seguridad que se convierten en CVE.

Los identificadores de CVE

Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los identificadores de CVE (ID de CVE). En la actualidad, hay alrededor de 100 CNA, entre las que se incluyen empresas de seguridad e investigación y los proveedores de TI más importantes, como IBM, Cisco, Oracle, Microsoft y Red Hat. MITRE también puede emitir los CVE directamente.

Las CNA reciben bloques de identificadores de CVE y los reservan para asignarlos a los problemas nuevos a medida que se descubren. Cada año se emiten miles de identificadores de CVE. Un solo producto complejo, como un sistema operativo (SO), puede acumular cientos de CVE. Esto significa que estará expuesto a riesgos una vez que se inicien la etapa del fin del período de mantenimiento (cuando se dejen de implementar las correcciones de errores y ya no se apliquen los parches de seguridad) y la etapa del final de la vida útil (cuando ya no se proporcione soporte propio). Por ejemplo, cuando CentOS Linux 7 llegó al período del final de la vida útil el 1.º de julio de 2024, se anunció un CVE nuevo al día siguiente. Esto destaca la importancia de llevar a cabo una migración a un sistema operativo estable que reciba actualizaciones y parches de seguridad con frecuencia.

Migra tu sistema de CentOS Linux a Red Hat Enterprise Linux

Cualquier persona, ya sea un proveedor, un investigador o simplemente un usuario experto, puede descubrir una falla de seguridad y avisar a alguien. Muchos proveedores ofrecen recompensas por detectar errores para incentivar su divulgación responsable. Si encuentras un punto vulnerable en los sistemas de software open source, debes notificarlo a la comunidad respectiva.

La información de la falla llegará a la CNA de una u otra forma. Luego, la CNA le asignará un identificador de CVE y lo publicará en la página web de CVE.

La CNA suele asignar un identificador de CVE antes de publicar la advertencia de seguridad. Es muy común que los proveedores mantengan las fallas de seguridad en secreto hasta que hayan desarrollado y probado una solución que evite que los atacantes se aprovechen de los errores sin parches.

Una vez que se publica una entrada de CVE, se incluye el número de identificación (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable, y las referencias, las cuales pueden contener enlaces a recomendaciones e informes sobre el punto vulnerable.

Recursos de Red Hat

Las características de los CVE

Según las normas operativas de las autoridades de numeración de CVE, los identificadores se asignan a las fallas que cumplen con ciertos criterios. Por ejemplo:

  • Se pueden solucionar de forma independiente.
    La falla puede solucionarse independientemente de las demás.
  • El proveedor afectado las confirma o las documenta.
    El proveedor de software o hardware reconoce la existencia del error y confirma su impacto negativo en la seguridad. También es posible que la persona que notificó el punto vulnerable haya compartido un informe que demuestre que tiene un impacto negativo y que infringe la política de seguridad del sistema afectado.
  • Afectan solo a una base de código.
    Si una falla compromete a más de un producto, cada uno de ellos recibe un CVE independiente. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla únicamente si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, cada base de código o producto afectado obtendrá un CVE único.
Seis estrategias para fortalecer su base de TI

Sistema común de calificación de los puntos vulnerables

Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es con el sistema común de calificación de los puntos vulnerables (CVSS), que es un conjunto de estándares abiertos que permite otorgarles una puntuación según su gravedad. La NVD, el CERT y otras entidades usan las puntuaciones del CVSS para evaluar el impacto de los puntos vulnerables. El rango de puntuación oscila entre 0,0 y 10,0, y las cifras más altas representan un nivel de gravedad más alto. Muchos proveedores de seguridad crean sus propios sistemas de calificación.

Tres recomendaciones clave 

Infórmate sobre tus implementaciones. La existencia de un CVE no significa que el riesgo afecte tu implementación y entorno específicos. Asegúrate de leer cada CVE y comprueba que esté relacionado (de forma total o parcial) con el sistema operativo, las aplicaciones, los módulos y las configuraciones de tu entorno.

Aplica la gestión de los puntos vulnerables. La gestión de los puntos vulnerables es un proceso constante que permite identificarlos, clasificarlos, priorizarlos, solucionarlos y reducirlos. Para ello, es necesario comprender la forma en que cierto riesgo puede afectar a tu empresa, ya que así podrás darles prioridad a los puntos vulnerables pendientes que debas solucionar.

Prepárate para comunicar la información. Los CVE no solo afectarán los sistemas de tu empresa debido a los propios puntos vulnerables, sino también al tiempo de inactividad que se pudiera requerir para solucionarlos. Ponte en contacto y trabaja con los clientes internos y comparte los puntos vulnerables con todas las unidades centrales de gestión de riesgos de tu empresa.

La forma de abordar los CVE en Red Hat

Red Hat es uno de los principales colaboradores de los sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Además, es una de las CNA y utiliza los identificadores de CVE para hacer un seguimiento de los puntos vulnerables de seguridad. Red Hat Product Security mantiene una base de datos pública de las mejoras de seguridad que se actualiza con frecuencia y puede consultarse por número de CVE. También se ocupa de los CVE que se consideran graves o importantes para aquellos productos que se encuentran al final de su período de mantenimiento (EOM), como Red Hat Enterprise Linux 7, a través de nuestro programa Extended Life Cycle Support (ELS).

Consulta la base de datos de CVE de Red Hat

¿Para qué sirve Red Hat Security Data API?

Red Hat Product Security brinda acceso a la información sin procesar en materia de seguridad en el Portal de clientes Red Hat en un formato que pueden utilizar las máquinas que poseen Security Data API (interfaz de programación de aplicaciones).

Los clientes pueden aprovechar estos datos junto con los indicadores y los informes de seguridad que genera Red Hat para diseñar parámetros propios que se apliquen a sus casos particulares.

La información que ofrece Security Data API incluye las definiciones del estándar Open Vulnerability and Assessment Language (OVAL), los documentos de Common Vulnerability Reporting Framework (CVRF) y los datos de los CVE. Esta información está disponible en los formatos XML o JSON.

Accede a la documentación sobre Red Hat Security Data API

Hub

El blog oficial de Red Hat

Obtenga la información más reciente sobre nuestro ecosistema de clientes, socios y comunidades.

Todas las versiones de prueba de los productos de Red Hat

Con las versiones de prueba gratuitas de nuestros productos, podrás adquirir experiencia práctica, prepararte para obtener una certificación o evaluar las soluciones para saber si son adecuadas para tu empresa.
Más información

Más información

¿Qué es la informática confidencial?

La informática confidencial emplea la informática basada en sistemas de hardware para proteger los datos cuando no se encuentran en reposo ni en tránsito, es decir, mientras realmente los utilizas.

¿Qué son SPIFFE y SPIRE?

SPIFFE y SPIRE son dos proyectos open source que abordan la gestión de identidades en entornos informáticos diversos y dinámicos. En conjunto, resuelven muchos problemas relacionados con la seguridad.

¿Qué es la confianza cero?

Obtén más información sobre la confianza cero, un enfoque que se utiliza para diseñar las arquitecturas de seguridad y se basa en la premisa de que ninguna interacción es confiable desde el principio.

Seguridad: lecturas recomendadas

Contenido relacionado

Artículos relacionados