Cosa sono le CVE (Vulnerabilità ed esposizioni comuni)?

Il catalogo CVE è più simile a un dizionario che a un database CVE. Fornisce un nome e una descrizione per ogni vulnerabilità o esposizione. In tal modo, consente la comunicazione tra strumenti e database eterogenei e aiuta a migliorare l'interoperabilità e la copertura di sicurezza. Il CVE è scaricabile e utilizzabile gratuitamente o pubblicamente. L'elenco CVE alimenta il National Vulnerability Database (NVD) degli Stati Uniti.

Il CVE, in quanto organizzazione, è "un'iniziativa internazionale basata sulla comunità che mantiene un registro aperto di dati delle vulnerabilità di cybersecurity note alla comunità, noto come elenco CVE".¹

Una delle sfide fondamentali della cybersecurity è identificare e mitigare le vulnerabilità sfruttabili da parte degli hacker per compromettere applicazioni, sistemi e dati. Il CVE aiuta ad affrontare questa sfida fornendo un framework standardizzato per la catalogazione e il monitoraggio delle vulnerabilità di cybersecurity che le organizzazioni possono utilizzare per migliorare i processi di gestione delle vulnerabilità.

Il sistema CVE utilizza identificatori univoci, noti come ID CVE (a volte chiamati numeri CVE), per etichettare ogni vulnerabilità segnalata, facilitando la comunicazione, la collaborazione e la gestione efficaci delle falle di sicurezza.

La MITRE Corporation ha creato il CVE nel 1999 come catalogo di riferimento per la categorizzazione delle vulnerabilità di sicurezza nel software e nel firmware. Il sistema CVE aiuta le organizzazioni a confrontarsi e a condividere informazioni sulle vulnerabilità della cybersecurity, a valutare la gravità delle vulnerabilità e a rendere i sistemi informatici più sicuri.

Il comitato editoriale del CVE supervisiona il programma CVE. Il consiglio è composto da membri di organizzazioni legate alla cybersecurity, membri del mondo accademico, istituti di ricerca, agenzie governative e altri importanti esperti di sicurezza. Tra gli altri compiti, il consiglio approva le fonti di dati, la copertura dei prodotti, gli obiettivi di copertura per le voci dell'elenco CVE e gestisce l'assegnazione continua di nuove voci.¹

L'US-CERT dell'ufficio per la cybersecurity e le comunicazioni presso il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) sponsorizza il programma CVE.¹

Il programma CVE definisce una vulnerabilità come "una debolezza nella logica computazionale presente nei componenti software e hardware che, se sfruttata, ha un impatto negativo sulla riservatezza, l'integrità o la disponibilità". Quindi una vulnerabilità si riferisce a una debolezza, come un errore di codifica, che può essere utilizzata dagli aggressori per ottenere l'accesso non autorizzato a reti e sistemi, installare malware, eseguire codice e sottrarre o distruggere dati sensibili. Un'esposizione consente tale accesso.

Pensa a una casa: una vulnerabilità è una finestra con una serratura che è facile da scassinare per un ladro. Un'esposizione è una finestra che qualcuno ha dimenticato di chiudere.

Per qualificarsi come CVE e ricevere un identificatore CVE (CVE ID), i difetti di sicurezza devono soddisfare determinati criteri:

• Risolvibile indipendentemente da altri difetti: il difetto deve essere risolvibile separatamente dalle altre vulnerabilità.
  
  
• Riconosciuto dal fornitore o documentato in un rapporto di vulnerabilità: il fornitore deve riconoscere che il bug esiste e ha un impatto negativo sulla sicurezza. Oppure deve esserci un rapporto di vulnerabilità che dimostri l'impatto negativo del bug sulla sicurezza e la sua violazione della politica di sicurezza del sistema interessato.
  
  
• Interessa una base di codice: il bug deve interessare solo una base di codice (un prodotto). Ai difetti che interessano più di un prodotto vengono assegnati CVE separati per ogni prodotto.
  

Le autorità di numerazione CVE (CNA) assegnano ID CVE e pubblicano record CVE all'interno di ambiti di copertura specifici. La MITRE Corporation svolge il ruolo di editore e CNA primario. Le altre CNA includono i principali fornitori di sistemi operativi (OS) e IT (tra cui IBM®, Microsoft e Oracle), ricercatori sulla sicurezza e altre entità autorizzate. Le CNA operano su base volontaria. Attualmente ci sono 389 CNA provenienti da 40 Paesi diversi.²

Le root sono organizzazioni autorizzate a reclutare, formare e governare i CNA o altre root entro un ambito specifico.

Le root di primo livello sono quelle di livello più elevato e sono responsabili della "governance e dell'amministrazione di una gerarchia specificata, comprese le radici e i CNA all'interno di quella gerarchia".³ Attualmente ci sono due radici di alto livello nel programma CVE: la MITRE Corporation e la Cybersecurity and Infrastructure Security Agency (CISA).

Ulteriori informazioni sulla struttura dell'organizzazione CVE sono disponibili qui.

Chiunque può inviare una segnalazione CVE. Le vulnerabilità vengono spesso scoperte da ricercatori nell'ambito della cybersecurity, professionisti della sicurezza, fornitori di software, membri della comunità open source e utenti di prodotti attraverso vari mezzi, come ricerche indipendenti, valutazioni della sicurezza, scansione delle vulnerabilità, attività di risposta agli incidenti o semplicemente mediante l'utilizzo di un prodotto. Molte aziende offrono un bug bounty, una ricompensa per aver trovato e segnalato in modo responsabile le vulnerabilità rilevate nel software.

Una volta identificata e segnalata una nuova vulnerabilità, viene inviata a un CNA per la valutazione. Un nuovo CVE viene quindi riservato alla vulnerabilità. Questo è lo stato iniziale di un record CVE.

Dopo aver esaminato la vulnerabilità in questione, la CNA presenta i dettagli, tra cui i prodotti interessati, eventuali versioni aggiornate o corrette del prodotto, il tipo di vulnerabilità, la causa principale e l'impatto e almeno un riferimento pubblico. Non appena gli elementi di dati sono stati aggiunti al record CVE, la CNA pubblica il record nell'elenco CVE, rendendolo disponibile al pubblico.

La voce CVE entra quindi a far parte del rispettivo elenco ufficiale, in cui diventa accessibile ai professionisti della cybersecurity, ai ricercatori, ai fornitori e agli utenti di tutto il mondo. Le organizzazioni possono utilizzare gli ID CVE per tracciare e dare priorità alle vulnerabilità all'interno dei loro ambienti, valutare la loro esposizione a minacce specifiche e implementare misure di mitigazione del rischio appropriate.

Le voci CVE includono un ID CVE, una breve descrizione della vulnerabilità di sicurezza e riferimenti, inclusi report di vulnerabilità e avvisi. Gli ID CVE sono composti da tre parti:

1. Un ID CVE inizia con il prefisso "CVE"
   
   
2. La seconda sezione è l'anno dell'assegnazione
   
   
3. L'ultima sezione dell'ID CVE è un identificatore sequenziale

L'ID completo è simile al seguente: CVE-2024-12345. Questo ID standardizzato aiuta a garantire la coerenza e l'interoperabilità tra piattaforme e repository diversi, consentendo agli stakeholder di fare riferimento e condividere informazioni su vulnerabilità specifiche utilizzando un "linguaggio comune".

I record CVE sono associati a uno dei tre stati seguenti:

• Riservato: questo è lo stato iniziale, assegnato a un CVE prima che venga divulgato pubblicamente (mentre un CNA sta esaminando la vulnerabilità).
  
  
• Pubblicato: questo è il momento in cui una CNA ha raccolto e inserito i dati associati all'ID CVE e ha pubblicato il record.
  
  
• Rifiutato: in questa fase, l'ID e il record CVE non devono essere utilizzati. Tuttavia, il record rifiutato rimane nell'elenco CVE per informare gli utenti che l'ID e il record non sono validi.
  

Un modo in cui le organizzazioni possono valutare la gravità delle vulnerabilità è utilizzare il Common Vulnerability Scoring System (CVSS). Il CVSS, gestito dal Forum of Incident Response and Security Teams (FIRST), è un metodo standardizzato utilizzato dal National Vulnerability Database (NVD), dai Cybersecurity Emergency Response Teams (CERT) e altri enti per valutare la gravità e l'impatto delle vulnerabilità segnalate. È separato dal sistema CVE ma utilizzato insieme ad esso: i formati di record CVE consentono alle CNA di aggiungere un punteggio CVSS ai record CVE quando pubblicano i record nel relativo elenco.²

Il CVSS assegna un punteggio numerico alle vulnerabilità, che va da 0,0 a 10, in base alla sfruttabilità, alla portata dell'impatto e ad altre metriche. Più alto è il punteggio, più grave è il problema. Questo punteggio aiuta le organizzazioni a valutare l'urgenza di affrontare una particolare vulnerabilità e ad allocare le risorse di conseguenza. Non è raro che le organizzazioni utilizzino anche un proprio sistema di punteggio della vulnerabilità.

I punteggi CVSS vengono calcolati in base ai punteggi di tre gruppi di metriche (base, temporale e ambientale) che incorporano diverse caratteristiche di una vulnerabilità.

Le aziende si affidano maggiormente ai punteggi delle metriche di base mentre le classifiche di gravità pubbliche, come quelle fornite nel National Vulnerability Database del National Institute of Standards and Technology (NIST), utilizzano esclusivamente il punteggio delle metriche di base. Il punteggio delle metriche di base non considera le caratteristiche di vulnerabilità che cambiano nel tempo (metriche temporali), i fattori del mondo reale come l'ambiente dell'utente o le misure adottate da un'azienda per prevenire lo sfruttamento di un bug.

Le metriche di base sono ulteriormente suddivise tra metriche di sfruttabilità e metriche di impatto:

• Le metriche di sfruttabilità includono fattori quali il vettore di attacco, la complessità dell'attacco e i privilegi richiesti.
  
  
• Le metriche di impatto includono l'impatto sulla riservatezza, l'impatto sull'integrità e l'impatto sulla disponibilità.⁴

Le metriche temporali misurano una vulnerabilità nel suo stato attuale e vengono utilizzate per rifletterne la gravità man mano che cambia nel tempo. Includono anche eventuali correzioni, come le patch disponibili. La maturità del codice di sfruttamento, il livello di correzione e l'affidabilità dei report sono tutti componenti del punteggio delle metriche temporali.

Le metriche ambientali consentono a un'organizzazione di regolare il punteggio di base in base al proprio ambiente e ai requisiti di sicurezza. Questo punteggio aiuta a mettere una vulnerabilità in un contesto più chiaro in relazione all'organizzazione e include un punteggio dei requisiti di riservatezza, un punteggio dei requisiti di integrità e un punteggio dei requisiti di disponibilità. Queste metriche vengono calcolate insieme alle metriche di base modificate che misurano l'ambiente specifico (ad esempio il vettore di attacco modificato e la complessità dell'attacco modificato) per raggiungere un punteggio di metrica ambientale.

Il programma CVE rappresenta un approccio collaborativo e sistematico per identificare, catalogare e affrontare le vulnerabilità e le esposizioni della cybersecurity. Grazie a un sistema standardizzato per identificare e fare riferimento alle vulnerabilità, un CVE aiuta le organizzazioni a migliorare la gestione delle vulnerabilità in diversi modi:

Il CVE è un catalogo di vulnerabilità note di cybersecurity, in cui un ID CVE è specifico di una determinata falla del software. Il Common Weaknesses Enumeration (CWE) è un progetto della comunità IT che elenca diversi tipi, o categorie, di punti deboli hardware e software, come errori di buffer, errori di autenticazione o problemi di CPU. Queste debolezze potrebbero portare a una vulnerabilità.