¿Qué es CVE (vulnerabilidades y exposiciones comunes)?

El catálogo de CVE se parece más a un diccionario que a una base de datos. Proporciona un nombre y una descripción para cada vulnerabilidad o exposición. Al hacerlo, permite la comunicación entre herramientas y bases de datos dispares y ayuda a mejorar la interoperabilidad y la cobertura de seguridad. La CVE es de descarga y uso gratuito o público. La lista CVE alimenta la base de datos nacional de vulnerabilidades (NVD) de EE. UU.

CVE, la organización, es "un esfuerzo internacional basado en la comunidad que mantiene un registro de datos abiertos impulsado por la comunidad de vulnerabilidades de ciberseguridad conocidas públicamente, conocido como la lista CVE"¹.

Uno de los retos fundamentales de la ciberseguridad es identificar y mitigar las vulnerabilidades que los hackers pueden explotar para comprometer aplicaciones, sistemas y datos. CVE ayuda a abordar este desafío al proporcionar un marco estandarizado para catalogar y rastrear las vulnerabilidades de ciberseguridad que las organizaciones pueden utilizar para mejorar los procesos de gestión de vulnerabilidades.

El sistema CVE utiliza identificadores únicos, conocidos como ID CVE (a veces llamados números CVE), para etiquetar cada vulnerabilidad notificada. Esto facilita la comunicación, la colaboración y la gestión eficaces de los fallos de seguridad.

La MITRE Corporation creó CVE en 1999 como un catálogo de referencia para categorizar las vulnerabilidades de seguridad en software y firmware. El sistema CVE ayuda a las organizaciones a debatir y compartir información relativa a las vulnerabilidades de ciberseguridad, evaluar la gravedad de las vulnerabilidades y hacer que los sistemas informáticos sean más seguros.

El Consejo Editorial de CVE supervisa el programa CVE. La junta incluye miembros de organizaciones relacionadas con la ciberseguridad, miembros del mundo académico, instituciones de investigación, agencias gubernamentales y otros destacados expertos en seguridad. Entre otras tareas, la junta aprueba las fuentes de datos, la cobertura de productos, los objetivos de cobertura para las entradas de la lista CVE y gestiona la asignación continua de nuevas entradas¹.

El US-CERT de la Oficina de Ciberseguridad y Comunicaciones del Departamento de Seguridad Nacional (DHS) de EE. UU. patrocina el programa CVE¹.

El programa CVE define una vulnerabilidad como "una debilidad en la lógica computacional que se encuentra en los componentes de software y hardware que, cuando se explota, repercute negativamente en la confidencialidad, la integridad o la disponibilidad". Por lo tanto, una vulnerabilidad se refiere a una debilidad, como un error de codificación, que los atacantes pueden utilizar para obtener acceso no autorizado a redes y sistemas, instalar malware, ejecutar código y robar o destruir datos confidenciales. Una exposición permite ese acceso.

Piense en una casa: una vulnerabilidad es una ventana con una cerradura que es fácil de forzar para un ladrón. Una exposición es una ventana que alguien olvidó cerrar.

Para ser clasificado como CVE y que se le asigne un identificador CVE (ID de CVE), los fallos de seguridad deben cumplir ciertos criterios:

• Reparable independientemente de otros defectos: el defecto debe poder corregirse independientemente de otras vulnerabilidades.
  
  
• Reconocido por el proveedor o documentado en un informe de vulnerabilidad: el proveedor debe reconocer que el error existe y afecta negativamente a la seguridad. O debe haber un informe de vulnerabilidad que demuestre el impacto negativo del error en la seguridad y su violación de la política de seguridad del sistema afectado.
  
  
• Afecta a una base de código: el error debe afectar solo a una base de código (un producto). A los defectos que afectan a más de un producto se les asignan CVE independientes para cada producto.

Las autoridades de numeración (CNA) de CVE asignan los ID de y publican los registros de CVE dentro de ámbitos de cobertura específicos. La corporación MITRE funciona como editor y CNA principal. Otros CNA incluyen a los principales proveedores de sistemas operativos (OS) e TI (incluidos IBM, Microsoft y Oracle), investigadores de seguridad y otras entidades autorizadas. Los CNA operan de manera voluntaria. Actualmente hay 389 CNA de 40 países diferentes².

Las raíces son organizaciones autorizadas para contratar, formar y gobernar CNA u otras raíces dentro de un ámbito específico.

Las raíces de nivel superior son las raíces de más alto nivel y son responsables del "gobierno y la administración de una jerarquía específica, incluidas las raíces y los CNA dentro de esa jerarquía"³  .Actualmente hay dos raíces de alto nivel en el programa CVE: The MITRE Corporation y la Agencia de Seguridad Cibernética y de la Infraestructura (CISA).

Puede encontrar información adicional sobre la estructura de la organización CVE aquí.

Cualquiera puede enviar un informe CVE. Las vulnerabilidades suelen ser descubiertas por investigadores de ciberseguridad, profesionales de la seguridad, proveedores de software, miembros de la comunidad de código abierto y usuarios de productos a través de diversos medios, como investigaciones independientes, evaluaciones de seguridad, escaneo de vulnerabilidades, actividades de respuesta a incidentes o simplemente utilizando un producto. Muchas empresas ofrecen recompensas por detectar errores, es decir, por encontrar y denunciar de manera responsable las vulnerabilidades detectadas en el software.

Una vez que se identifica y notifica una nueva vulnerabilidad, se envía a un CNA para su evaluación. A continuación, se reserva un nuevo CVE para la vulnerabilidad. Este es el estado inicial de un registro CVE.

Después de examinar la vulnerabilidad en cuestión, la CNA presenta detalles que incluyen los productos a los que afecta, cualquier versión actualizada o corregida del producto, el tipo de vulnerabilidad, su causa raíz e impacto y al menos una referencia pública. Cuando estos elementos de datos se han añadido al registro CVE, la CNA publica el registro en la lista CVE, haciéndolo disponible públicamente.

La entrada CVE pasa a formar parte de la lista oficial, a la que pueden acceder profesionales de la ciberseguridad, investigadores, proveedores y usuarios de todo el mundo. Las organizaciones pueden utilizar los ID de CVE para rastrear y priorizar las vulnerabilidades dentro de sus entornos, evaluar su exposición a amenazas específicas e implementar medidas de mitigación de riesgos adecuadas.

Las entradas CVE incluyen un ID de CVE, una breve descripción de la vulnerabilidad de seguridad y referencias, incluidos informes y avisos de vulnerabilidad. Los ID de CVE tienen una construcción de tres partes:

1. Un ID de CVE comienza con el prefijo "CVE"
   
   
2. La segunda sección es el año de la asignación
   
   
3. La última sección del ID de CVE es un identificador secuencial

El ID completo tiene este aspecto: CVE-2024-12345. Esta identificación estandarizada ayuda a garantizar la coherencia y la interoperabilidad entre diferentes plataformas y repositorios, permitiendo a las partes interesadas referenciar y compartir información sobre vulnerabilidades específicas utilizando un "lenguaje común".

Los registros CVE están asociados a uno de estos tres estados:

• Reservado: este es el estado inicial, asignado a una CVE antes de que se divulgue públicamente (cuando un CNA está examinando la vulnerabilidad).
  
  
• Publicado: es cuando un CNA ha recopilado e introducido los datos asociados al ID de CVE y ha publicado el registro.
  
  
• Rechazado: en esta fase, no se deben utilizar el ID y el registro de CVE. Sin embargo, el registro rechazado permanece en la lista CVE para informar a los usuarios de que el ID y el registro no son válidos.
  

Una forma en la que las organizaciones pueden evaluar la gravedad de las vulnerabilidades es utilizando el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS). El CVSS, operado por el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST), es un método estandarizado utilizado por la Base de Datos Nacional de Vulnerabilidades (NVD), los Equipos de Respuesta a Emergencias de Ciberseguridad (CERT) y otros para evaluar la gravedad y el impacto de las vulnerabilidades notificadas. Es independiente del sistema CVE, pero se utiliza junto a este: los formatos de registro CVE permiten a los CNA añadir una puntuación CVSS a los registros CVE al publicar registros en la lista CVE².

El CVSS asigna una puntuación numérica a las vulnerabilidades, que oscila entre 0,0 y 10, en función de la explotabilidad, el alcance del impacto y otras métricas. Cuanto mayor sea la puntuación, más grave será el problema. Esta puntuación ayuda a las organizaciones a evaluar la urgencia de abordar una vulnerabilidad particular y asignar recursos en consecuencia. No es raro que las organizaciones también utilicen su propio sistema de puntuación de vulnerabilidades.

Las puntuaciones CVSS se calculan en función de las puntuaciones de tres grupos de métricas (base, temporales y ambientales) que incorporan diferentes características de una vulnerabilidad.

Las empresas son las que más se basan en las puntuaciones métricas base, y las clasificaciones públicas de gravedad, como las que figuran en la base de datos nacional de vulnerabilidades del Instituto Nacional de Estándares y Tecnología (NIST), utilizan exclusivamente la puntuación métrica base. Esta puntuación métrica base no tiene en cuenta las características de las vulnerabilidades que cambian con el tiempo (métricas temporales), los factores del mundo real, como el entorno de usuario, ni las medidas que una empresa ha tomado para evitar la explotación de un error.

Las métricas base se dividen en métricas de explotabilidad y métricas de impacto:

• Las métricas de explotabilidad incluyen factores como el vector de ataque, la complejidad del ataque y los privilegios requeridos.
  
  
• Las métricas de impacto incluyen el impacto en la confidencialidad, en la integridad y en la disponibilidad⁴.
  

Las métricas temporales miden una vulnerabilidad en su estado actual y se utilizan para reflejar la gravedad de un impacto a medida que cambia con el tiempo. También incorporan cualquier corrección, como los parches disponibles. La madurez del código de explotación, el nivel de corrección y la confianza en los informes son componentes de la puntuación de la métrica temporal.

Las métricas del entorno permiten a una organización ajustar la puntuación base de acuerdo con su propio entorno y requisitos de seguridad. Esta puntuación ayuda a situar la vulnerabilidad en un contexto más claro en lo que respecta a la organización e incluye una puntuación de requisitos de confidencialidad, de integridad y de disponibilidad. Estas métricas se calculan junto con métricas base modificadas que miden el entorno específico (como el vector de ataque modificado y la complejidad del ataque modificado) para alcanzar una puntuación de métricas de entorno.

El programa CVE representa un enfoque colaborativo y sistemático para identificar, catalogar y abordar las vulnerabilidades y exposiciones a la ciberseguridad. Al ofrecer un sistema estandarizado para identificar y hacer referencia a las vulnerabilidades, CVE ayuda a las organizaciones a mejorar la gestión de vulnerabilidades de varias formas:

CVE es un catálogo de vulnerabilidades de ciberseguridad conocidas, en el que un ID de CVE es específico de un fallo de software. La Common Weaknesses Enumeration (CWE) es un proyecto de la comunidad de TI que enumera diferentes tipos o categorías de debilidades de hardware y software, como errores de búfer, errores de autenticación o problemas de CPU. Estas debilidades podrían dar lugar a una vulnerabilidad.