Was ist CVE (Common Vulnerabilities and Exposures)?

Der CVE-Katalog ist eher ein Wörterbuch als eine CVE-Datenbank. Es gibt einen Namen und eine Beschreibung für jede Sicherheitslücke oder Gefährdung. Dadurch ermöglicht es die Kommunikation zwischen unterschiedlichen Tools und Datenbanken und trägt zur Verbesserung der Interoperabilität und Sicherheitsabdeckung bei. CVE kann kostenlos heruntergeladen und öffentlich verwendet werden. Die CVE-Liste wird in die US-amerikanische National Vulnerability Database (NVD) eingespeist.

Die Organisation CVE ist „eine internationale, gemeinschaftsbasierte Initiative, die ein gemeinschaftsbasiertes offenes Datenregister öffentlich bekannter Cybersicherheits-Schwachstellen, bekannt als CVE-Liste, führt.“¹

Eine der grundlegenden Herausforderungen im Bereich der Cybersicherheit besteht darin, Schwachstellen zu identifizieren und zu beheben, die Hacker ausnutzen können, um Anwendungen, Systeme und Daten zu kompromittieren. CVE hilft bei der Bewältigung dieser Herausforderung, indem es ein standardisiertes Framework für die Katalogisierung und Nachverfolgung von Cybersicherheitslücken bereitstellt, das Unternehmen nutzen können, um die Prozesse zum Schwachstellenmanagement zu verbessern.

Das CVE-System verwendet eindeutige Kennungen, sogenannte CVE-IDs (manchmal auch CVE-Nummern genannt), um jede gemeldete Sicherheitslücke zu kennzeichnen. Dies erleichtert eine effektive Kommunikation, Zusammenarbeit und Verwaltung von Sicherheitslücken.

Die MITRE Corporation hat CVE im Jahr 1999 als Referenzkatalog zur Kategorisierung von Sicherheitslücken in Software und Firmware erstellt. Das CVE-System hilft Unternehmen, Informationen über Cybersicherheitslücken zu erörtern und auszutauschen, den Schweregrad von Sicherheitslücken zu bewerten und Computersysteme sicherer zu machen.

Die CVE-Redaktion überwacht das CVE-Programm. Dem Vorstand gehören Mitglieder von Organisationen im Bereich Cybersicherheit, Mitglieder der Wissenschaft, Forschungseinrichtungen, Regierungsbehörden und andere bekannte Sicherheitsexperten an. Neben anderen Aufgaben genehmigt das Board die Datenquellen, die Produktabdeckung und die Abdeckungsziele für CVE-Listeneinträge und verwaltet die laufende Zuweisung neuer Einträge.¹

Das US-CERT im Office of Cybersecurity and Communications des US-Department of Homeland Security (DHS) sponsert das CVE-Programm.¹

Das CVE-Programm definiert Schwachstellen als „eine Schwäche in der Rechenlogik von Software- und Hardwarekomponenten, die, wenn sie ausgenutzt wird, negative Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit hat“. Eine Schwachstelle bezieht sich also auf Mängel, wie z. B. einen Coding-Fehler, die von Angreifern ausgenutzt werden können, um sich unbefugten Zugriff auf Netzwerke und Systeme zu verschaffen, Malware zu installieren, Code auszuführen und sensible Daten zu stehlen oder zu zerstören. Eine Angriffsfläche ermöglicht diesen Zugriff.

Stellen Sie sich ein Haus vor: Eine Schwachstelle ist ein Fenster mit einem Schloss, das ein Einbrecher leicht knacken kann. Eine Angriffsfläche ist ein Fenster, das jemand vergessen hat zu schließen.

Um sich als CVE zu qualifizieren und eine CVE-Kennung (CVE ID) zu erhalten, müssen Sicherheitslücken bestimmte Kriterien erfüllen:

• Behebung unabhängig von anderen Mängeln: Der Mangel muss unabhängig von anderen Schwachstellen behoben werden können.
  
  
• Vom Anbieter bestätigt oder in einem Schwachstellenbericht dokumentiert: Der Anbieter muss bestätigen, dass der Fehler existiert und sich negativ auf die Sicherheit auswirkt. Oder es muss ein Schwachstellenbericht vorliegen, der die negativen Auswirkungen des Fehlers auf die Sicherheit und die Verletzung der Sicherheitsrichtlinie des betroffenen Systems nachweist.
  
  
• Betrifft eine Codebasis: Der Fehler darf nur eine Codebasis (ein Produkt) betreffen. Fehler, die mehr als ein Produkt betreffen, werden für jedes Produkt mit separaten CVEs versehen.
  

CVE-Nummerierungsstellen (CNAs) vergeben CVE-IDs und veröffentlichen CVE-Datensätze innerhalb bestimmter Abdeckungsbereiche. Die MITRE Corporation fungiert als Redakteur und primärer CNA. Zu den anderen CNAs gehören große Betriebssystem- und IT-Anbieter (darunter IBM, Microsoft und Oracle), Sicherheitsforscher und andere autorisierte Stellen. CNAs arbeiten auf freiwilliger Basis. Derzeit gibt es 389 CNAs aus 40 verschiedenen Ländern.²

„Roots“ sind Unternehmen, die befugt sind, CNAs oder andere ‚Roots‘ innerhalb eines bestimmten Bereichs zu rekrutieren, auszubilden und zu leiten.

Top-Level-Wurzeln sind die obersten Wurzeln und für die „Steuerung und Verwaltung einer bestimmten Hierarchie, einschließlich der Wurzeln und CNAs innerhalb dieser Hierarchie“ verantwortlich.“³ Derzeit gibt es zwei Hauptakteure im CVE-Programm: die MITRE Corporation und die Cybersecurity and Infrastructure Security Agency (CISA).

Weitere Informationen zur Struktur der CVE-Organisation finden Sie hier.

Jeder kann einen CVE-Bericht einreichen. Sicherheitslücken werden oft von Cybersicherheitsforschern, Sicherheitsexperten, Softwareanbietern, Mitgliedern der Open-Source-Community und Produktnutzern auf verschiedene Weise entdeckt, z. B. durch unabhängige Forschung, Sicherheitsbewertungen, Schwachstellen-Scans, Reaktionen auf Vorfälle oder einfach durch die Nutzung eines Produkts. Viele Unternehmen bieten eine Belohnung für das Auffinden und verantwortungsvolle Melden von Schwachstellen in Software an.

Sobald eine neue Schwachstelle identifiziert und gemeldet wurde, wird sie zur Bewertung an eine CNA weitergeleitet. Ein neuer CVE ist dann für die Sicherheitslücke reserviert. Dies ist der Anfangszustand eines CVE-Datensatzes.

Nach der Prüfung der betreffenden Sicherheitslücke übermittelt der CNA Einzelheiten, darunter Angaben dazu, welche Produkte betroffen sind, etwaige aktualisierte oder behobene Produktversionen, den Typ der Sicherheitslücke, ihre Grundursache und Auswirkungen sowie mindestens eine öffentliche Referenz. Wenn diese Datenelemente dem CVE-Datensatz hinzugefügt wurden, veröffentlicht der CNA den Datensatz in der CVE-Liste und macht ihn öffentlich zugänglich.

Der CVE-Eintrag wird dann Teil der offiziellen CVE-Liste, wo er für Cybersicherheitsexperten, Forscher, Anbieter und Benutzer weltweit zugänglich ist. Unternehmen können CVE-IDs verwenden, um Schwachstellen in ihren Umgebungen zu verfolgen und zu priorisieren, ihre Gefährdung für bestimmte Bedrohungen zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen.

CVE-Einträge umfassen eine CVE-ID, eine kurze Beschreibung der Sicherheitslücke und Referenzen, einschließlich Schwachstellenberichten und -hinweisen. CVE-IDs haben einen dreiteiligen Aufbau:

1. Eine CVE-ID beginnt mit dem Präfix „CVE“
   
   
2. Der zweite Abschnitt ist das Jahr der Aufgabe
   
   
3. Der letzte Abschnitt der CVE-ID ist eine sequenzielle Kennung

Die vollständige ID sieht wie folgt aus: CVE-2024-12345. Diese standardisierte ID trägt dazu bei, die Konsistenz und Interoperabilität zwischen verschiedenen Plattformen und Repositories zu gewährleisten und ermöglicht es den Stakeholdern, Informationen über bestimmte Schwachstellen in einer „gemeinsamen Sprache“ zu finden und auszutauschen.

CVE-Einträge sind einem von drei Zuständen zugeordnet:

• Reserviert: Dies ist der Anfangszustand, der einer CVE zugewiesen wird, bevor sie öffentlich bekannt gegeben wird (wenn ein CNA die Sicherheitsanfälligkeit untersucht).
  
  
• Veröffentlicht: Dies ist der Zeitpunkt, an dem ein CNA die mit der CVE-ID verknüpften Daten gesammelt und eingegeben und den Datensatz veröffentlicht hat.
  
  
• Abgelehnt: In dieser Phase sollten die CVE-ID und der Datensatz nicht verwendet werden. Der abgelehnte Datensatz verbleibt jedoch auf der CVE-Liste, um die Benutzer darüber zu informieren, dass die ID und der Datensatz ungültig sind.
  

Eine Möglichkeit, wie Unternehmen den Schweregrad von Schwachstellen bewerten können, ist die Verwendung des Scoring-Systems für gängige Schwachstellen (Common Vulnerability Scoring System, CVSS). Das CVSS wird vom Forum of Incident Response and Security Teams (FIRST) betrieben und ist eine standardisierte Methode, die von der National Vulnerability Database (NVD), den Cybersecurity Emergency Response Teams (CERTs) und anderen verwendet wird, um den Schweregrad und die Auswirkungen von gemeldeten Sicherheitslücken zu bewerten. Es ist vom CVE-System getrennt, wird aber zusammen mit CVE verwendet: CVE-Datensatzformate ermöglichen es CNAs, CVE-Datensätzen einen CVSS-Score hinzuzufügen, wenn sie Datensätze in der CVE-Liste veröffentlichen.²

Das CVSS weist den Schwachstellen eine numerische Bewertung zu, die zwischen 0,0 und 10 liegt und auf der Grundlage von Ausnutzbarkeit, Ausmaß der Auswirkungen und anderen Metriken liegt. Je höher die Punktzahl, desto schwerwiegender das Problem. Dieser Wert hilft Unternehmen dabei, die Dringlichkeit der Behebung einer bestimmten Schwachstelle einzuschätzen und Ressourcen entsprechend zuzuweisen. Es ist nicht ungewöhnlich, dass Unternehmen auch ein eigenes Schwachstellenbewertungssystem verwenden.

CVSS-Werte werden auf Grundlage von Wertungen aus drei Messgruppen (Basis, Zeit und Umgebung) berechnet, die unterschiedliche Merkmale einer Sicherheitslücke berücksichtigen.

Unternehmen verlassen sich am meisten auf die Basis-Metrik-Werte, und öffentliche Einstufungen der Schwere wie die in der National Vulnerability Database des National Institute of Standards and Technology (NIST) verwenden ausschließlich den Basis-Metrik-Wert. Bei dieser Bewertung der Basismetriken werden weder die Merkmale der Schwachstelle berücksichtigt, die sich im Laufe der Zeit ändern (zeitliche Metriken), noch reale Faktoren wie die Benutzerumgebung oder Maßnahmen, die ein Unternehmen ergriffen hat, um die Ausnutzung eines Fehlers zu verhindern.

Die Basismetriken werden weiter unterteilt in Ausnutzbarkeitsmetriken und Auswirkungsmetriken:

• Zu den Ausnutzbarkeitsmetriken gehören Faktoren wie Angriffsvektor, Angriffskomplexität und erforderliche Berechtigungen.
  
  
• Zu den Auswirkungsmetriken gehören die Auswirkungen auf die Vertraulichkeit, die Auswirkung auf die Integrität und die Auswirkung auf die Verfügbarkeit.⁴
  

Zeitmetriken messen eine Schwachstelle in ihrem aktuellen Zustand und werden verwendet, um den Schweregrad einer Auswirkung widerzuspiegeln, wenn sie sich im Laufe der Zeit ändert. Sie enthalten auch alle Abhilfemaßnahmen wie verfügbare Patches. Der Reifegrad des Ausnutzungscodes, der Grad der Behebung und die Zuverlässigkeit der Berichte sind Komponenten der zeitlichen Metrikbewertung.

Umgebungsmetriken ermöglichen es einem Unternehmen, die Basisbewertung entsprechend den eigenen Umgebungs- und Sicherheitsanforderungen anzupassen. Diese Bewertung hilft dabei, eine Schwachstelle in einen klareren Kontext zu setzen, da sie sich auf die Organisation bezieht und eine Bewertung der Vertraulichkeitsanforderungen, der Integritätsanforderungen und der Verfügbarkeitsanforderungen umfasst. Diese Metriken werden zusammen mit modifizierten Basismetriken berechnet, die die spezifische Umgebung messen (z. B. modifizierter Angriffsvektor und modifizierte Angriffskomplexität), um eine Bewertung der Umgebungsmetriken zu erhalten.

Das CVE-Programm stellt einen kollaborativen und systematischen Ansatz zur Identifizierung, Katalogisierung und Behebung von Schwachstellen und Risiken der Cybersicherheit dar. Durch das Angebot eines standardisierten Systems zur Identifizierung und Referenzierung von Schwachstellen hilft CVE Unternehmen auf verschiedene Weise, das Schwachstellenmanagement zu verbessern:

CVE ist ein Katalog bekannter Cybersicherheitslücken, bei dem eine CVE-ID für einen Softwarefehler spezifisch ist. Die Common Weaknesses Enumeration (CWE) ist ein Projekt der IT-Community, das verschiedene Arten oder Categories von Hardware- und Software-Schwachstellen auflistet, wie z. B. Pufferfehler, Authentifizierungsfehler oder CPU-Probleme. Diese Schwachstellen können zu einer Sicherheitslücke führen.