O que é CVE?

O CVE, sigla inglesa para vulnerabilidades e exposições comuns, é uma lista pública de falhas de segurança. Quando alguém menciona CVE, refere-se a uma falha de segurança atribuída a um número de ID correspondente.

Os fornecedores e pesquisadores quase sempre mencionam pelo menos um ID CVE nos relatórios de segurança. Os CVEs ajudam os profissionais de TI a trabalhar em conjunto para priorizar e solucionar essas vulnerabilidades, a fim de tornar os sistemas de computadores os mais seguros possíveis.

Em 1999, a MITRE Corporation, uma empresa de desenvolvimento e pesquisa com fundos do governo dos EUA, desenvolveu o sistema CVE, um padrão uniformizado para relatar e rastrear bugs de segurança em software. 

As entradas do CVE são curtas. Elas não incluem dados ou informações técnicas sobre riscos, impactos e correções. Essas informações aparecem em outros bancos de dados, como o National Vulnerability Database (NVD) dos Estados Unidos, o Vulnerability Notes Database do CERT/CC e várias listas criadas por fornecedores e outras organizações.

O ID CVE oferece uma maneira confiável de reconhecer vulnerabilidades em diferentes sistemas e coordenar o desenvolvimento de ferramentas e soluções de segurança. A MITRE Corporation mantém a lista de CVEs, mas uma falha de segurança que se torna oficialmente um CVE, normalmente, é enviada por organizações e membros da comunidade open source.

Sobre os identificadores CVE

Os identificadores CVE (ou IDs CVE) são atribuídos por uma Autoridade de Numeração CVE (CNA). Há aproximadamente 100 CNAs, incluindo empresas de segurança, organizações de pesquisa e principais fornecedores de TI como a Red Hat, IBM, Cisco, Oracle e Microsoft. A MITRE também emite CVEs diretamente.

As CNAs recebem blocos de IDs CVE, que são reservados pelas CNAs para atribuição aos novos problemas que forem descobertos. Milhares de IDs CVE são emitidos todos os anos. Uma única solução complexa, como sistemas operacionais, pode acumular centenas de CVEs. Isso significa que há vulnerabilidade assim que começam as fases de manutenção final (quando correções de bug e patches de segurança param de ser emitidos) e fim da vida (quando todo o suporte próprio termina). Por exemplo, quando o CentOS Linux 7 entrou no período de fim da vida em 1º de julho de 2024, um novo CVE foi anunciado dentro de um dia. Isso releva a importância de migrar para um sistema operacional estável que recebe patches e atualizações de segurança regulares.

Migre do CentOS Linux para o Red Hat Enterprise Linux

Qualquer pessoa (um fornecedor, pesquisador ou apenas um usuário interessado) pode descobrir um erro de segurança e chamar atenção para ele. Muitos fornecedores oferecem recompensas por bugs para encorajar a divulgação responsável de problemas de segurança. Se você encontrar alguma vulnerabilidade em um software open source, informe à comunidade relevante.

De uma forma ou de outra, informações sobre a falha acabam chegando às CNAs. Depois, a CNA atribui a informação a um ID CVE. Por fim, o novo CVE é publicado no site de CVE.

Uma CNA normalmente atribui um ID CVE antes de tornar pública a orientação de segurança. Fornecedores normalmente mantêm as falhas de segurança em segredo até que desenvolvam e testem correções para ajudar a prevenir a exploração de falhas sem patch.

Depois de publicada, a entrada inclui o ID CVE (no formato "CVE-2019-1234567"), uma descrição breve da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.

De acordo com as regras operacionais das autoridades atribuidoras de números de CVE, IDs CVE são atribuídos a falhas que atendem a critérios específicos, que são os seguintes:

• Ser corrigível de forma independente.
  A falha pode ser corrigida independentemente de outros bugs.
• Ser reconhecida pelo fornecedor afetado ou documentada.
  O fornecedor de software ou hardware reconhece a existência do bug e confirma que ele impacta negativamente a segurança. Outra opção é compartilhar um relatório de vulnerabilidade que demonstra o impacto negativo do bug e a violação da política de segurança do sistema afetado.
• Afetar apenas uma base de código.
  Se uma falha impacta mais de uma solução, ela recebe um CVE para cada solução. No caso de bibliotecas, protocolos ou padrões compartilhados, a falha recebe um único CVE apenas se não for possível usar o código compartilhado sem se tornar vulnerável. Caso contrário, cada base de código ou solução afetada recebe um CVE único.

Existem várias formas de avaliar a gravidade de uma vulnerabilidade. Uma delas é o Sistema de Pontuação de Vulnerabilidade Comum (CVSS), um conjunto de padrões abertos usado para atribuir um número a uma vulnerabilidade de acordo com sua gravidade. O NVD, CERT e outros bancos de dados usam essas pontuações para avaliar o impacto das vulnerabilidades. A pontuação vai de 0 a 10. Quanto maior o número, mais grave. Muitos fornecedores de segurança criaram seus próprios sistemas de pontuação.

3 principais conclusões

Conheça as suas implantações. O fato de haver um CVE não quer dizer que o risco se aplique ao seu ambiente ou implantação específicos. Leia cada CVE para certificar que ele é (total ou parcialmente) relevante para o sistema operacional, a aplicação, os módulos e as configurações do seu ambiente.

Faça o gerenciamento de vulnerabilidades.O gerenciamento de vulnerabilidades é um processo iterativo para identificar, classificar, priorizar, remediar e mitigar vulnerabilidades. Isso significa entender como um risco se aplica à sua organização para priorizar corretamente as vulnerabilidades pendentes que precisam ser resolvidas.

Prepare-se para se comunicar. CVEs impactam os sistemas da sua empresa, tanto pelas próprias vulnerabilidades quanto pelo tempo de inatividade necessário para resolvê-las. Comunique-se e coordene-se com seus clientes internos e compartilhe as vulnerabilidades com a gestão da central de riscos da sua organização.

Como a Red Hat trabalha com CVEs

Como uma das principais colaboradoras do software open source, a Red Hat está sempre envolvida na comunidade de segurança. Nós somos uma CNA e usamos IDs CVE para rastrear vulnerabilidades de segurança. O Red Hat Product Security mantém um banco de dados de atualizações de segurança aberto e atualizado que você pode consultar pelo número do CVE.

O Red Hat Product Security oferece acesso a dados brutos de segurança no Portal do Cliente Red Hat e em formatos compatíveis com máquinas por meio da API (interface de programação de aplicações) de dados de segurança.

Além das métricas e relatórios de segurança que a Red Hat oferece, os clientes podem usar esses dados para gerar as próprias métricas de acordo com seus casos.

A API de dados de segurança inclui definições de Linguagem de avaliação e vulnerabilidade aberta (OVAL), documentos de Framework de relatórios de vulnerabilidades comuns (CVRF) e dados de CVE. Os dados estão disponíveis no formato XML e JSON.