O que é CVE (Vulnerabilidades e Exposições Comuns)?

O catálogo CVE é mais um dicionário do que um banco de dados de CVE. Ele fornece um nome e uma descrição para cada vulnerabilidade ou exposição. Ao fazê-lo, ele permite a comunicação entre ferramentas e bancos de dados díspares e ajuda a melhorar a interoperabilidade e a cobertura de segurança. O CVE é gratuito ou público para download e uso. A lista CVE alimenta o National Vulnerability Database (NVD) dos EUA.

A CVE, a organização, é "um esforço internacional baseado na comunidade que mantém um registro de dados abertos conduzido pela comunidade de vulnerabilidades de cibersegurança conhecidas publicamente, conhecida como lista CVE".¹

Um dos desafios fundamentais na cibersegurança é identificar e mitigar vulnerabilidades que os hackers podem explorar para comprometer aplicações, sistemas e dados. A CVE ajuda a enfrentar esse desafio ao fornecer uma estrutura padronizada para catalogar e rastrear vulnerabilidades de cibersegurança que as organizações podem usar para melhorar os processos de gerenciamento de vulnerabilidades.

O sistema CVE usa identificadores exclusivos, conhecidos como IDs CVE (às vezes chamados de números CVE), para rotular cada vulnerabilidade relatada. Isso facilita a comunicação, a colaboração e o gerenciamento eficazes de falhas de segurança.

A MITRE Corporation criou o CVE em 1999 como um catálogo de referência para categorizar vulnerabilidades de segurança em software e firmware. O sistema CVE ajuda as organizações a discutir e compartilhar informações sobre vulnerabilidades de cibersegurança, avaliar a gravidade das vulnerabilidades e tornar os sistemas de computador mais seguros.

O Conselho Editorial do CVE supervisiona o programa CVE. O conselho inclui membros de organizações relacionadas à cibersegurança, membros do meio acadêmico, instituições de pesquisa, agências governamentais e outros especialistas em segurança de destaque. Entre outras tarefas, o conselho aprova fontes de dados, cobertura de produtos, metas de cobertura para entradas na lista CVE e gerencia a atribuição contínua de novas entradas.¹

O US-CERT no escritório de cibersegurança e comunicações do Department of Homeland Security dos EUA (DHS) patrocina o programa CVE.¹

O programa CVE define uma vulnerabilidade como "uma fraqueza na lógica computacional encontrada em componentes de software e hardware que, quando explorada, resulta em um impacto negativo na confidencialidade, integridade ou disponibilidade". Portanto, uma vulnerabilidade se refere a uma fraqueza, como um erro de programação, que pode ser usada por invasores para obter acesso não autorizado a redes e sistemas, instalar malware, executar código e roubar ou destruir dados confidenciais. Uma exposição permite esse acesso.

Pense em uma casa: uma vulnerabilidade é uma janela com uma fechadura que é fácil de ser arrombada por um ladrão. Uma exposição é uma janela que alguém esqueceu de trancar.

Para se qualificar como um CVE e receber um identificador CVE (ID CVE), uma falha de segurança deve atender a determinados critérios:

• Corrigível independente de outras falhas: a falha deve poder ser corrigida separadamente de outras vulnerabilidades.
  
  
• Reconhecida pelo fornecedor ou documentado em um relatório de vulnerabilidades: o fornecedor deve reconhecer que o bug existe e afeta negativamente a segurança. Ou deve haver um relatório de vulnerabilidades que demonstre o impacto negativo do bug na segurança e sua violação da política de segurança do sistema afetado.
  
  
• Afeta uma base de código: o bug deve afetar apenas uma base de código (um produto). As falhas que afetam mais de um produto são atribuídas a CVEs separados para cada produto.

As autoridades de numeração CVE (CNAs) atribuem IDs CVE e publicam registros CVE dentro de escopos de cobertura específicos. A empresa MITRE funciona como editor e CNA primário. Outras CNAs incluem os principais fornecedores de sistemas operacionais (SO) e TI (incluindo IBM, Microsoft e Oracle), pesquisadores de segurança e outras entidades autorizadas. As CNAs operam de forma voluntária. Atualmente, existem 389 CNAs de 40 países diferentes.⁴

Raízes são organizações autorizadas a recrutar, treinar e governar CNAs ou outras raízes dentro de um escopo específico.

Raízes de nível superior são as raízes de nível mais alto e são responsáveis pela "governança e administração de uma hierarquia específica, incluindo raízes e CNAs dentro dessa hierarquia."³ Atualmente, há duas raízes de nível superior no programa CVE: a MITRE Corporation e a Cybersecurity and Infrastructure Security Agency (CISA).

Informações adicionais sobre a estrutura da organização CVE podem ser encontradas aqui.

Qualquer pessoa pode enviar um relatório de CVE. As vulnerabilidades são frequentemente descobertas por pesquisadores de cibersegurança, profissionais de segurança, fornecedores de software, membros da comunidade de código aberto e usuários de produtos por meio de vários meios, como pesquisas independentes, avaliações de segurança, verificações de vulnerabilidades, atividades de resposta a incidentes ou simplesmente usando um produto. Muitas empresas oferecem uma recompensa por bugs — uma recompensa por encontrar e relatar com responsabilidade vulnerabilidades encontradas no software.

Depois que uma nova vulnerabilidade é identificada e relatada, ela é submetida a um CNA para avaliação. Um novo CVE é então reservado para a vulnerabilidade. Esse é o estado inicial de um registro CVE.

Após examinar a vulnerabilidade em questão, a CNA envia detalhes, incluindo quais produtos afetam, quaisquer versões de produtos atualizadas ou corrigidas, o tipo de vulnerabilidade, sua causa raiz e impacto e pelo menos uma referência pública. Quando esses elementos de dados forem adicionados ao registro CVE, a CNA publica o registro na lista CVE, tornando-o disponível publicamente.

A entrada CVE, então, torna-se parte da lista oficial CVE, onde é acessível a profissionais de segurança cibernética, pesquisadores, fornecedores e usuários em todo o mundo. As organizações podem usar os IDs CVE para rastrear e priorizar vulnerabilidades em seus ambientes, avaliar sua exposição a ameaças específicas e implementar medidas apropriadas de mitigação de riscos.

As entradas CVE incluem um ID CVE, uma breve descrição da vulnerabilidade de segurança e referências, incluindo relatórios de vulnerabilidade e avisos. Os IDs CVE têm uma construção em três partes:

1. Um ID CVE começa com o prefixo “CVE”
   
   
2. A segunda seção é o ano da atribuição
   
   
3. A última seção do ID CVE é um identificador sequencial

O ID completo tem a seguinte forma: CVE-2024-12345. Essa identificação padronizada ajuda a garantir a consistência e a interoperabilidade entre diferentes plataformas e repositórios, permitindo que os stakeholders façam referência e compartilhem informações sobre vulnerabilidades específicas usando uma "linguagem comum".

Os registros CVE estão associados a um de três estados:

• Reservado: esse é o estado inicial, atribuído a um CVE antes de ser divulgado publicamente (quando uma CNA está examinando a vulnerabilidade).
  
  
• Publicado: ocorre quando uma CNA coleta e insere os dados associados ao ID CVE e publica o registro.
  
  
• Rejeitado: nessa etapa, o ID e o registro CVE não devem ser usados. No entanto, o registro rejeitado permanece na lista CVE para informar aos usuários que o ID e o registro são inválidos.
  

Uma maneira de as organizações avaliarem a gravidade das vulnerabilidades é usando o Common Vulnerability Scoring System (CVSS). O CVSS, operado pelo Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST), é um método padronizado usado pelo Banco de Dados Nacional de Vulnerabilidades (NVD), Equipes de Resposta a Emergências de Cibersegurança (CERTs) e outros para avaliar a gravidade e o impacto das vulnerabilidades relatadas. É separado do sistema CVE, mas usado junto com o CVE: os formatos de registro CVE permitem que as CNAs adicionem uma pontuação CVSS aos registros CVE ao publicar registros na lista CVE.⁶

O CVSS atribui uma pontuação numérica às vulnerabilidades, variando de 0,0 a 10, com base na explorabilidade, escopo de impacto e outras métricas. Quanto maior a pontuação, mais grave é o problema. Essa pontuação ajuda as organizações a avaliar a urgência de lidar com uma vulnerabilidade específica e alocar recursos adequadamente. Não é incomum que organizações também usem seu próprio sistema de pontuação de vulnerabilidades.

As pontuações do CVSS são calculadas com base nas pontuações de três grupos de métricas (básicas, temporais e ambientais), que incorporam características diferentes de uma vulnerabilidade.

As empresas dependem mais das pontuações de métricas básicas, e as classificações de gravidade públicas, como as fornecidas no National Institute of Standards and Technology (NIST) National Vulnerability Database, usam exclusivamente a pontuação de métricas básicas. Essa pontuação de métricas básicas não considera as características de vulnerabilidade que mudam ao longo do tempo (métricas temporais), fatores do mundo real, como o ambiente do usuário, ou medidas que uma empresa tomou para evitar a invasão de um bug.

As métricas básicas são divididas ainda mais entre métricas de explorabilidade e métricas de impacto:

• As métricas de explorabilidade incluem fatores como vetor de ataque, complexidade do ataque e privilégios necessários.
  
  
• As métricas de impacto incluem o impacto na confidencialidade, impacto na integridade e impacto na disponibilidade.⁴
  

As métricas temporais medem uma vulnerabilidade em seu estado atual e são usadas para refletir a gravidade de um impacto conforme ele muda ao longo do tempo. Elas também incorporam quaisquer remediações, como patches disponíveis. A maturidade do código de exploração, o nível de remediação e a confiança do relatório são componentes da pontuação das métricas temporais.

As métricas ambientais permitem que uma organização ajuste a pontuação básica de acordo com seus próprios requisitos de ambiente e segurança. Essa pontuação ajuda a colocar a vulnerabilidade em um contexto mais claro, conforme ela se relaciona com a organização, e inclui uma pontuação de requisito de confidencialidade, uma pontuação de requisito de integridade e uma pontuação de requisito de disponibilidade. Essas métricas são calculadas juntamente com métricas básicas modificadas que medem o ambiente específico (como vetor de ataque modificado e complexidade de ataque modificada) para alcançar uma pontuação de métricas ambientais.

O programa CVE representa uma abordagem colaborativa e sistemática para identificar, catalogar e lidar com vulnerabilidades e exposições de cibersegurança. Oferecendo um sistema padronizado para identificar e fazer referência a vulnerabilidades, o CVE ajuda as organizações a melhorar o gerenciamento de vulnerabilidades de várias maneiras:

CVE é um catálogo de vulnerabilidades de cibersegurança conhecidas, em que um ID CVE é específico para uma falha de software. A Enumeração de Pontos Fracos Comuns (CWE) é um projeto da comunidade de TI que lista diferentes tipos ou categorias de pontos fracos de hardware e software, como erros de buffer, erros de autenticação ou problemas de CPU. Esses pontos fracos podem levar a uma vulnerabilidade.