Es muy probable que haya oído hablar de "CVE", que significa Common Vulnerabilities and Exposures (vulnerabilidades y exposiciones comunes). Los CVE se enumeran en una enorme base de datos que rastrea los problemas de seguridad informática conocidos. Esto facilita el acceso y la consulta. Por tanto, si oyes a alguien hablar de un CVE -o de un registro CVE- significa que el fallo de seguridad es conocido y ya ha sido catalogado.
El objetivo del seguimiento de los CVE es el siguiente: compartir y catalogar los fallos de seguridad conocidos permite a los responsables de ciberseguridad priorizar y abordar las vulnerabilidades, al tiempo que se mejora la seguridad de la nube, el código y cualquier otro sistema informático.
Básicamente, el sistema CVE proporciona un lenguaje común y un punto de referencia. Pero, y este es el gran "pero", ten en cuenta que mi problema puede no ser el tuyo.
¿Quién mantiene la base de datos CVE?
La corporación MITRE supervisa el sistema CVE, y todos los registros CVE son gratuitos para que el público los busque y utilice. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) contribuye a su financiación. Las entradas CVE son breves y concisas: no contienen datos técnicos exhaustivos. Las entradas de CVE tampoco comentan las correcciones, riesgos e impactos. Los detalles concretos se registran en otras bases de datos. Algunos ejemplos son la Base de Datos Nacional de Vulnerabilidades de EE.UU. (NVD) y la Base de Datos de Notas de Vulnerabilidad CERT/CC.
¿Qué aspecto tiene una identificación CVE?
Un CVE ID es como un número de serie. Cuando vea una entrada CVE, verá el ID CVE, que tiene el siguiente aspecto: "CVE-YYYY-#####".
¿Qué incluye un registro CVE?
Un registro CVE incluye la siguiente información:
- ID CVE
- Descripción
- Referencias
- Asignación de CNA
- Fecha de creación del registro
Los registros de CVE también incluyen algunos elementos heredados, que no son relevantes para las nuevas entradas: fase, votos, comentarios, propuestas.
¿Cómo encuentran vulnerabilidades y exposiciones?
Cualquiera puede denunciarlos, desde una empresa tecnológica hasta un usuario curioso. Algunos incluso ofrecen recompensas por encontrar e informar de estos problemas. Si se trata de software de código abierto, todo gira en torno al apoyo de la comunidad.
Una vez que se informa de una vulnerabilidad, un CNA le da un ID CVE, escribe una breve descripción y añade algunas referencias. A continuación, se publica en el sitio web de CVE. A veces, incluso obtienen un ID antes de que el problema se haga público. Así se mantiene a raya a los malos.
Ahora bien, no todos los temas reciben una CVE. Por supuesto, ¡hay normas! Se aplican tres criterios principales:
- Independientemente solucionable. Esto significa que el fallo es solucionable, independiente e irrelevante para otros fallos.
- Reconocido por el proveedor. Esto significa que el proveedor reconoce que el fallo existe y que podría afectar negativamente a la seguridad. Otra opción es disponer de un informe de vulnerabilidad compartido que incluya una descripción del impacto negativo del fallo y de cómo viola la política de seguridad del sistema.
- Afecta a una sola base de código. Si afecta a más de un producto, se crean CVE independientes. La idea es crear registros CVE lo más aislados posible.
¿Cómo puedo encontrar los registros del CVE?
En primer lugar, la información del CVE es gratuita y está a disposición del público. Es una buena noticia.
La forma más fácil de encontrar los CVE más recientes es seguir @CVEnew en X. Este feed se actualiza constantemente con tweets sobre múltiples CVE nuevos cada día. Ayer mismo miré y ¡había más de 80 nuevos CVEs! Si lo sigues, ¡tu feed estará lleno de ellos!
¿Qué le parece una forma más completa de encontrar los registros anteriores de CVE? Si quieres todos los registros desde 1999 o un año en particular, o incluso buscar por tema, sólo tienes que ir a CVE.org/Downloads. Los archivos masivos están ahora en formato JSON 5.0 y pueden descargarse a través de un repositorio GitHub. (Nota: el sistema de archivos anterior dejará de estar disponible el 1 de enero de 2024).
CVEdetails.com dispone de una versión en línea de la base de datos muy fácil de usar , ¡con actualizaciones diarias!
¿Cómo relacionar sus bibliotecas con el CVE adecuado?
Cuando se analiza una vulnerabilidad se quiere recuperar el CVE correcto. Para asegurarse de que tiene el CVE correcto, la mejor práctica es comprobar el número de versión y el nombre del paquete. Hay muchas herramientas, como Trivy, que hacen esto automáticamente por usted. (Aikido aprovecha Trivy para algunas de estas funcionalidades).
Sistema común de puntuación de vulnerabilidades - CVSS
El NVD y otros utilizan el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), que determina la gravedad de una vulnerabilidad o una exposición. Es como un boletín de calificaciones para los problemas de seguridad, que va de 0,0 (no es gran cosa) a 10,0 (gran problema). Así, cada entrada CVE tiene una puntuación CVSS.
¿Cómo se calcula la puntuación CVSS?
La puntuación CVSS se calcula con una fórmula basada en métricas de vulnerabilidad. La puntuación CVSS se obtiene a partir de las puntuaciones de estas tres áreas: Base, Temporal y Ambiental. La puntuación Base es obligatoria y el punto de partida y tiene subpuntuaciones de impacto y explotabilidad. A continuación, la puntuación Temporal puede calcularse a partir de la Base. A continuación, la puntuación Ambiental puede calcularse a partir de la Temporal. Estos cálculos conducen a la puntuación CVSS global.
¡Algo para los frikis de las fórmulas! Compruebe cómo funcionan el sistema de puntuación y la calculadora CVSS. Averigüe cuáles son los cálculos y qué métricas precisas crean cada puntuación. Vector de ataque Complejidad del ataque. ¡Mucha diversión!
¿Qué es la escala de puntuación CVSS?
La escala de puntuación CVSS actual (v3.1) incluye cinco categorías:
- 9,0 - 10,0 = Crítico
- 7,0 - 8,9 = Alto
- 4,0 - 6,9 = Media
- 0,1 - 3,9 = Bajo
- 0,0 = Ninguna
Descargue una copia de la guía del usuario completa del sistema de puntuación CVSS.
¿Cómo puedo encontrar la puntuación CVSS de un registro CVE?
Es muy fácil. Cuando esté en la base de datos en línea, cada página de registro CVE tiene un enlace a la puntuación CVSS del NVD. Sólo tiene que hacer clic y listo. Por ejemplo, utilizando el CVE-2023-40033 de antes en este post, cuando hacemos clic en "Puntuaciones CVSS" (esquina superior derecha del registro) nos enteramos de que esta vulnerabilidad tiene una puntuación de 7,1 (Alta).
¿Qué es un CWE?
Common Weakness Enumeration, o CWE, es una lista de debilidades comunes de software y hardware. CWE es un recurso desarrollado por la comunidad y proporciona normalización para el tipo y alcance de las debilidades.
Citando a MITRE, "el principal objetivo de CWE es detener las vulnerabilidades en su origen... para eliminar los errores más comunes antes de que se entreguen los productos". CWE también ofrece a los desarrolladores un marco para debatir y actuar contra las amenazas a la seguridad, al tiempo que se asocia a las bases de datos de vulnerabilidades (por ejemplo, CVE).
¿En qué se diferencia de CVE? La CWE se centra en la debilidad subyacente que podría dar lugar a una vulnerabilidad. Por su parte, CVE describe las vulnerabilidades reales. Al igual que CVE, CWE también tiene puntuación de gravedad a través de CWSS y CWRAF.
Echa un vistazo a los 25 CWE más peligrosos para 2023.
¿Qué puedo hacer para mantener una postura de seguridad sólida?
No siga ciegamente las puntuaciones CVSS para establecer sus prioridades de seguridad
¿Son todos los CVE un problema para usted? No. Son información, pero como mucha información, no todas las CVE serán relevantes para su contexto. E, incluso para los que puedan parecerlo, hay muchas situaciones en las que incluso los CVE con puntuaciones CVSS altas pueden no ser relevantes o un riesgo para usted:
- Nivel de impacto empresarial: Una vulnerabilidad, a pesar de tener una puntuación CVSS alta, no supone un riesgo significativo para las operaciones empresariales específicas de la organización, los datos de los clientes o el sistema crítico. O bien, una evaluación de riesgos u otra herramienta determina que otros factores (por ejemplo, que no se pueda acceder a una función) superan en importancia a la puntuación CVSS.
- Sistemas únicos: Cuando se utiliza software personalizado o único, las puntuaciones CVSS pueden no reflejar con precisión el riesgo real asociado a las vulnerabilidades en sistemas específicos.
- Limitación de recursos: Le encantaría arreglar todas las vulnerabilidades CVSS de alta puntuación, pero tiene que ser realista. Priorice antes de invertir toneladas de recursos en algo que no es rentable.
- Ya está cubierto: Es posible que ya disponga de defensas sólidas. Incluso si una vulnerabilidad obtiene una puntuación alta, puedes decidir que no merece la pena darle bombo si ya tienes salvaguardas que la mantienen bajo control.
- Conocimiento de las ECM: Esté atento a las ECM que puedan afectar a sus prestaciones.
Obtenga un escáner de vulnerabilidades
También están apareciendo nuevas plataformas que le ayudan a detectar tendencias emergentes: eche un vistazo a Fletch, especializada en la velocidad de concienciación y la contextualización de amenazas. Nessus analiza más de 59.000 CVE. Nexpose utiliza su propio sistema de puntuación, que tiene en cuenta la antigüedad de las vulnerabilidades y qué tipo de parches y soluciones se han aplicado ya. Nmap y OpenVAS son escáneres de vulnerabilidades de código abierto.
Mientras tanto, ¿por qué no probar también Aikido Security para controlar y mejorar su postura general de seguridad? ¡Pruebe Aikido gratis!
Adelántate a la CurVE
Lo que ocurre con los CVE es que se refieren al PASADO, es decir, a vulnerabilidades y exposiciones que ya se han producido. Eso significa que los malos actores a veces tienen tiempo de hacer daño antes de que usted tenga tiempo de reaccionar. Además de utilizar un escáner de vulnerabilidades, asegúrese de tomar medidas para gestionar el riesgo. Esto puede incluir asegurarse de que los parches están actualizados y llevar a cabo pruebas de penetración.
TL;DR sec ofrece un buen desglose de la cadena de suministro de software y, lo que es más importante, cómo asegurar cada etapa.
Además, nos gusta mantener informados a los usuarios de Aikido (gratuitos y de pago) y a nuestros seguidores de LinkedIn con publicaciones relevantes en LI. Por ejemplo, aquí hay un post reciente que hemos puesto sobre CVE-2023-4911 - el bug (no tan gracioso) Looney Tunables.
Compruebe su código en busca de los exploits más comunes
Utilice los 10 puntos débiles más comunes (OWASP ) y los puntos de referencia de cumplimiento de CIS para comprobar su código. Estas herramientas estándar te ayudan a hacer frente a los puntos débiles más comunes (OWASP) y a las configuraciones de referencia para la ciberseguridad (CIS).
Comprueba cómo puntúas directamente en Aikido: Informe CIS / Informe OWASP Top 10
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)