Panoramica
Un elenco CVE (Common Vulnerabilities and Exposures) è un database pubblico che raccoglie le vulnerabilità nella sicurezza informatica. Quando si fa riferimento a un CVE, si intende in genere una falla di sicurezza a cui è stato assegnato un numero identificativo (ID) CVE.
Gli avvisi di sicurezza emessi da fornitori e ricercatori fanno quasi sempre riferimento ad almeno un ID CVE. I CVE aiutano i professionisti IT a coordinare le iniziative per assegnare le priorità e risolvere le vulnerabilità, con l'obiettivo di rendere i sistemi informatici più sicuri.
È troppo lungo, non ho tempo di leggerlo
Se non ti va di leggere l'articolo, guarda questo breve video sui CVE.
Come funziona un sistema CVE?
Il programma è supervisionato da MITRE Corporation e supportato dall'Agenzia per la sicurezza informatica e delle infrastrutture (CISA) che fa capo al Dipartimento della sicurezza interna degli Stati Uniti.
Le voci incluse nell'elenco CVE sono concise e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni sono contenute in altri database, ad esempio l'U.S. National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri elenchi gestiti e aggiornati da fornitori e altre organizzazioni.
Nell'ambito dei diversi sistemi, gli ID CVE forniscono agli utenti un modo affidabile per individuare le vulnerabilità uniche e coordinare lo sviluppo di strumenti e soluzioni per la sicurezza. MITRE Corporation mantiene l'elenco dei CVE, ma spesso una falla nella sicurezza che diventa una voce di quell'elenco è stata inviata da membri o da organizzazioni della community open source.
Informazioni sugli identificativi CVE
Gli identificativi CVE vengono assegnati da un'autorità di numerazione CVE (CNA, CVE Numbering Authority). Esistono circa 100 CNA, che rappresentano i principali fornitori IT, tra cui Red Hat, IBM, Cisco, Oracle e Microsoft, oltre a società assicurative ed enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.
Alle CNA vengono assegnati blocchi di CVE, che verranno poi abbinati alle nuove falle non appena vengono rilevate. Ogni anno vengono pubblicati migliaia di ID CVE. A un unico prodotto complesso come un sistema operativo possono essere assegnati centinaia di CVE.
Le segnalazioni dei CVE possono provenire da chiunque: fornitori, ricercatori e perfino utenti esperti possono rilevare una falla e portarla all'attenzione degli interessati. Molti fornitori offrono ricompense per l'individuazione dei bug, con l'obiettivo di promuovere la divulgazione responsabile dei problemi di sicurezza. Se individui una vulnerabilità in un software open source è bene sottoporla alla community.
Le informazioni sulle falle di sicurezza giungono quindi, tramite vari percorsi, a una CNA, la quale abbina le informazioni a un ID CVE, redige una breve descrizione e include dei riferimenti. A questo punto la nuova voce CVE viene pubblicata sul sito web CVE.
Spesso, un ID CVE viene assegnato prima che un avviso di sicurezza venga reso pubblico. È comune tra i fornitori mantenere segreti i difetti di sicurezza fino a quando non viene sviluppata e testata una correzione. Ciò riduce le opportunità per gli aggressori di sfruttare le falle che non dispongono ancora di patch.
Quando viene resa pubblica, una voce CVE include l'ID CVE (nel formato "CVE-2019-1234567"), una breve descrizione della vulnerabilità o dell'esposizione e i riferimenti, ad esempio link a report o advisory di vulnerabilità.
Quali falle sono incluse negli elenchi CVE?
Gli ID CVE sono assegnati a falle che soddisfano uno specifico set di criteri che includono:
1. Correggibili in modo indipendente.
La falla può essere corretta in modo indipendente da qualsiasi altro bug.
2. Riconosciute dal fornitore del prodotto O documentate.
Il fornitore del software o dell'hardware conferma il bug e il suo potenziale impatto negativo sullo sicurezza. Oppure, chi segnala la falla deve condividere un report sulla vulnerabilità che dimostra l'impatto negativo del bug e accerta la violazione dei criteri di sicurezza del sistema interessato.
3. Con impatto su un codebase.
Alle falle che incidono su più di un prodotto vengono assegnati CVE distinti. In presenza di librerie, protocolli o standard condivisi, alla falla viene assegnato un unico CVE soltanto nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità. In caso contrario, a ogni codice o prodotto interessato dalla falla viene assegnato un CVE univoco.
Cos'è il Common Vulnerability Scoring System (CVSS)?
Per misurare la scala di gravità di una vulnerabilità esistono diversi metodi. Uno è il Common Vulnerability Scoring System (CVSS), un insieme di standard open per l'assegnazione di un punteggio a una vulnerabilità, che ne classifica la gravità. I punteggi CVSS sono utilizzati da NVD, CERT e altri per valutare l'impatto delle vulnerabilità. I punteggi vanno da 0,0 a 10,0 e i numeri più alti rappresentano un livello di gravità più elevato. Esistono inoltre sistemi di classificazione proprietari creati da numerosi fornitori di servizi di sicurezza.
Tre conclusioni
Analizza i tuoi deployment. Il fatto che esista un CVE non significa che uno specifico ambiente e deployment possano essere compromessi. Sfrutta ogni CVE per capire se ha valore per l'ambiente in questione verificando che sia applicabile (in tutto o in parte) al sistema operativo, all'applicazione, ai moduli e alle configurazioni del tuo specifico ambiente.
Adotta processi di gestione delle vulnerabilità.La gestione della vulnerabilità consiste in un processo ripetibile mirato a identificare, classificare, assegnare le priorità e mitigare le vulnerabilità. Nel complesso, significa comprendere i rischi che gravano sulla tua organizzazione in modo da assegnare le giuste priorità alle principali vulnerabilità che devono essere risolte.
Divulga le informazioni. I CVE hanno impatto sui sistemi della tua organizzazione sia per le vulnerabilità in sé, sia per i tempi di fermo conseguenti alla loro risoluzione. Per questo è importante comunicare e coordinarsi con i clienti interni, nonché condividere le vulnerabilità con l'eventuale reparto di gestione centralizzata del rischio della tua azienda.
Contributo di Red Hat agli elenchi CVE
In quanto contributore leader al software open source, Red Hat è attivamente coinvolta nelle iniziative delle community che si occupano di sicurezza. Red Hat è una CVE Numbering Authority (CNA) e utilizza gli ID CVE per tenere traccia delle vulnerabilità di sicurezza. Red Hat Security gestisce un database degli aggiornamenti di sicurezza aperto e aggiornato di frequente, in cui puoi eseguire ricerche usando l'identificativo CVE.
Che cos'è l'API Security Data di Red Hat?
Red Hat Product Security fornisce l'accesso ai dati di sicurezza non elaborati sulla sua pagina Security Data e in un formato utilizzabile con l'API Security Data.
Oltre ai report di sicurezza e alle metriche prodotte da Red Hat, i clienti possono utilizzare questi dati non elaborati per produrre metriche su misura per il proprio contesto.
I dati forniti dall'API Security Data includono definizioni Open Vulnerability and Assessment Language (OVAL), documenti Common Vulnerability Reporting Framework (CVRF) e dati CVE. I dati sono disponibili in formato XML o JSON.