¿Qué es CVE? Explicación de las vulnerabilidades y exposiciones comunes

Common Vulnerabilities and Exposures (CVE) es una lista de vulnerabilidades y exposiciones de seguridad de la información divulgadas públicamente.

CVE fue lanzado en 1999 por la corporación MITRE para identificar y categorizar vulnerabilidades en software y firmware. CVE proporciona un diccionario gratuito para que las organizaciones mejoren su seguridad cibernética. MITRE es una organización sin fines de lucro que opera centros de investigación y desarrollo financiados con fondos federales en Estados Unidos.

Explicamos aquí qué es CVE, objetivos, beneficios y funcionamiento.

¿Qué es CVE?

El glosario de vulnerabilidades y exposiciones comunes (CVE) es un proyecto de seguridad centrado en software de lanzamiento público, financiado por la División de Seguridad Nacional de EE. UU. y mantenido por MITRE Corporation. El glosario CVE utiliza el Protocolo de automatización de contenido de seguridad (SCAP) para recopilar información sobre vulnerabilidades y exposiciones de seguridad, catalogarlas de acuerdo con varios identificadores y proporcionarles ID únicos.

Una vez documentada, MITRE proporciona a cada vulnerabilidad una identificación única. Varios días después de la publicación en la base de datos de vulnerabilidades de Mitre, la Base de Datos Nacional de Vulnerabilidades (NVD) publica el CVE con un análisis de seguridad correspondiente.

MITRE define la lista CVE como un glosario o diccionario de vulnerabilidades y exposiciones disponibles públicamente, en lugar de una base de datos y, como tal, está destinada a servir como una línea de base de la industria para comunicarse y dialogar en torno a una vulnerabilidad determinada. Según la visión del MITRE, la documentación CVE es el estándar de la industria mediante el cual avisos de seguridad dispares, rastreadores de errores y bases de datos pueden obtener una línea de base uniforme con la que «hablar» entre sí, comunicándose y deliberando sobre la misma vulnerabilidad en un «lenguaje común».

¿Qué es una vulnerabilidad?

Una vulnerabilidad es una debilidad que puede explotarse en un ciberataque para obtener acceso no autorizado o realizar acciones no autorizadas en un sistema informático. Las vulnerabilidades pueden permitir a los atacantes ejecutar código, acceder a la memoria del sistema, instalar diferentes tipos de malware y robar, destruir o modificar datos confidenciales.

¿Qué es una exposición?

Una exposición es un error que le da a un atacante acceso a un sistema o red. Las exposiciones pueden provocar violaciones de datos, filtraciones de datos e información de identificación personal (PII) que se vende en la web oscura. De hecho, algunas de las mayores filtraciones de datos se debieron a exposiciones accidentales en lugar de ciberataques sofisticados.

Antecedentes

Antes de que se iniciara CVE en 1999, era muy difícil compartir datos sobre vulnerabilidades en diferentes bases de datos y herramientas. Cada proveedor mantuvo su propia base de datos, con su propio sistema de identificación y diferentes conjuntos de atributos para cada vulnerabilidad. CVE garantiza que cada herramienta pueda intercambiar datos con otras herramientas, al tiempo que proporciona un mecanismo mediante el cual se pueden comparar diferentes herramientas, como los escáneres de vulnerabilidades.

Si bien algunos pueden cuestionar si la divulgación pública de vulnerabilidades facilita que los piratas informáticos exploten esas vulnerabilidades, en general se acepta que los beneficios superan los riesgos. CVE incluye solo vulnerabilidades y exposiciones conocidas públicamente. Esto significa que los piratas informáticos podrían tener acceso a datos relacionados con el CVE, ya sea que esté en la lista de CVE o no.

Además, los detalles de un CVE a menudo se ocultan de la lista hasta que el proveedor correspondiente pueda emitir un parche u otra solución, lo que garantiza que las empresas puedan protegerse una vez que la información se haga pública. Además, el intercambio de información en toda la industria de la ciberseguridad puede ayudar a acelerar las mitigaciones, así como a garantizar que todas las organizaciones estén protegidas más rápidamente que si se dejaran identificar y encontrar soluciones a las CVE por sí mismas.

Objetivo

El objetivo de CVE es facilitar el intercambio de información sobre vulnerabilidades conocidas entre organizaciones.

CVE hace esto mediante la creación de un identificador estandarizado para una determinada vulnerabilidad o exposición. Los identificadores CVE o nombres CVE permiten a los profesionales de la seguridad acceder a información sobre amenazas cibernéticas específicas a través de múltiples fuentes de información utilizando el mismo nombre común.

Identificadores CVE

Cada nueva entrada de CVE recibe una identificación única.

MITRE proporciona los números CVE a cada nueva emisión de CVE. Sin embargo, vale la pena señalar que MITRE no es el único. Los CVE pueden recibir su identificación numérica de las autoridades de numeración comercial (no gubernamentales) que enumerarán las vulnerabilidades y exposiciones encontradas en sus propios productos.

Más allá de su ID único, cada CVE recibe una fecha de entrada que indica cuándo fue creado por MITRE, seguido de un campo de descripción individual y un campo de referencia. Si MITRE no informó directamente sobre la vulnerabilidad, sino que fue asignada primero por un rastreador de errores o una junta asesora diferente, el campo de referencia incluirá enlaces URL al rastreador de errores o junta asesora que presentó la vulnerabilidad por primera vez. Otros enlaces que pueden aparecer en este campo son a las páginas de productos afectadas por el CVE.

Beneficios

CVE permite a las organizaciones establecer una línea de base para evaluar la cobertura de sus herramientas de seguridad. Los identificadores comunes de CVE permiten a las organizaciones ver qué cubre cada herramienta y qué tan apropiadas son para su organización.

CVE significa que los avisos de seguridad que pueden detectar vulnerabilidades y verificar amenazas pueden usar la información de CVE para buscar firmas de ataques conocidas para identificar vulnerabilidades particulares como parte de cualquier proceso de análisis forense digital.

Buscar herramientas de seguridad con compatibilidad CVE en lugar de evaluaciones de vulnerabilidad propietarias, es una excelente manera de reducir el riesgo de ciberseguridad de tu organización.

Informar un CVE

Informar un CVE requiere ponerse en contacto con cualquiera de las Autoridades de numeración de CVE (CNA), probablemente MITRE, que es el principal contribuyente a su propia base de datos de vulnerabilidades.

Según algunos foros de desarrolladores, es posible publicar una alerta de vulnerabilidad en una lista de correo como Bugtraq en lugar de contactar a un CNA con una solicitud de CVE. MITRE responderá en unos días con un CVE publicado.

Es importante recordar que, aunque brinda un servicio vital a la comunidad de software, las nuevas entradas de CVE pueden tardar en aparecer en la base de datos MITRE (desde días hasta meses). Deben recibir autorización antes de publicar nuevos CVE y pueden causar retrasos desde el momento en que se le da su ID a un CVE hasta el momento en que se hace público. También se sabe que la falta de recursos en MITRE para redactar nuevos CVEs causa contratiempos en la publicación. MITRE explica que sus retrasos en el manejo son el resultado de una afluencia en constante crecimiento de vulnerabilidades informadas a la organización.

Análisis de gravedad CVE

El Common Vulnerability Scoring System (CVSS) es un conjunto de estándares abiertos para asignar un número a una vulnerabilidad para evaluar su gravedad.

Las puntuaciones CVSS oscilan entre 0,0 y 10,0. Cuanto mayor sea el número, mayor será el grado de gravedad.

Cada CVE recibe una puntuación CVSS del NVD, que indica su gravedad de seguridad. La clasificación de gravedad de la seguridad del NVD ayuda a los respondedores, incluidos los desarrolladores, DevSecOps y los equipos de seguridad, a determinar cómo abordar la vulnerabilidad y cuándo. Los recursos de remediación se asignan en función de la priorización de la gravedad.

La puntuación CVSS sigue una fórmula compuesta por varias métricas de seguridad. Las métricas involucradas en la determinación de la gravedad de una vulnerabilidad incluyen:

  • vector de acceso,
  • complejidad del ataque,
  • confidencialidad de los datos procesados ​​por el sistema que contiene la vulnerabilidad,
  • integridad del sistema explotado.

¿Qué es la Junta CVE?

La Junta de CVE está compuesta por organizaciones de ciberseguridad que incluyen proveedores de herramientas de seguridad, instituciones académicas, instituciones de investigación, departamentos y agencias gubernamentales, expertos en seguridad y usuarios finales de información sobre vulnerabilidades.

La Junta de CVE proporciona información crítica con respecto a las fuentes de datos, la cobertura de productos, los objetivos de cobertura, la estructura operativa y la dirección estratégica del programa CVE.

Todas las discusiones de la Junta de CVE se pueden encontrar a través de sus archivos de discusión por correo electrónico y archivos de reuniones. El personaje de la placa CVE también es de acceso público.

¿Qué son las CNA?

Las Autoridades de Numeración de CVE (CNA) son organizaciones que identifican y distribuyen números de identificación de CVE a investigadores y proveedores para su inclusión en anuncios públicos de nuevas vulnerabilidades. Las CNA incluyen proveedores de software, proyectos de código abierto, centros de coordinación, proveedores de servicios de recompensas por errores y grupos de investigación.

Los CNA son sistemas federados que ayudan a identificar vulnerabilidades y les asigna una identificación sin involucrar directamente a MITRE, que es el CNA principal.

¿Quiénes son las CNA?

Actualmente hay 104 CNA en 18 países, incluidos muchos nombres conocidos como Microsoft, Adobe, Apple, Cisco, Google, Hewlett Packard Enterprise, Huawei, IBM, Intel, Mozilla, Oracle, Red Hat, Siemens, Symantec, VMWare, Atlassian, Autodesk, Cloudflare, Elastic, GitHub, Kubernetes, Netflix y Salesforce.

¿Qué es un CNA raíz?

MITRE sirve como el CNA principal, mientras que los CNA raíz cubren un área o nicho determinada.

En muchos casos, un CNA raíz es una empresa importante como Apple que publica vulnerabilidades sobre sus propios productos. En otros casos, el CNA raíz puede centrarse en vulnerabilidades de código abierto.

¿Dónde está la última versión de la lista CVE?

La última versión de la lista CVE siempre se puede encontrar en cve.mitre.org. Si bien la lista CVE es gratuita, puede ser difícil saber qué vulnerabilidades afectan a tu organización sin herramientas adicionales. Esta es la razón por la que muchas organizaciones ahora usan herramientas que monitorizan los cambios en la lista CVE que les afectan.

Diariamente se agregan nuevos identificadores CVE. Busca herramientas sofisticadas que monitoricen automáticamente a tu empresa y a sus proveedores en busca de vulnerabilidades. La gestión de riesgos de terceros es una parte fundamental de la gestión de riesgos de la información y su política de seguridad de la información. Haz que la gestión de vulnerabilidades sea parte de la gestión de riesgos de tu proveedor, el marco de gestión de riesgos de terceros y los procesos de evaluación de riesgos de seguridad cibernética.

Vulnerabilidades sin CVE

Algunas vulnerabilidades no llegan a la base de datos MITRE, por lo que nunca reciben un número CVE. Esto sucederá si la entidad que lo descubrió no se puso en contacto con MITRE ni con ninguna otra CNA para solicitar un identificador CVE, o si una CNA como MITRE decidió no incluir la vulnerabilidad en el sistema.

Solo el 86% de todas las vulnerabilidades de código abierto informadas se incluyen en la lista CVE de MITRE. Esto significa que otro 14% de las vulnerabilidades se informa en otros lugares fuera del glosario de vulnerabilidades de MITRE.

Casi el 30% de las vulnerabilidades de código abierto de JavaScript no se informan en la base de datos CVE. De manera similar, las vulnerabilidades sin CVE representan poco más del 20% del total de vulnerabilidades reportadas en Ruby.

Las vulnerabilidades no informadas permanecen ocultas en los consejos asesores de seguridad o en los rastreadores de problemas, donde la entidad que las descubrió las publicó por primera vez. Estas vulnerabilidades están “fuera del radar” para muchos desarrolladores que generalmente exploran las principales bases de datos de vulnerabilidades y, por lo tanto, es menos probable que sean conocidas y debidamente parcheadas incluso si hay parches o una nueva versión disponible.

Limitaciones de CVE

CVE no está destinado a ser una base de datos de vulnerabilidades, por lo que (por diseño) no contiene parte de la información necesaria para ejecutar un programa integral de administración de vulnerabilidades. Además del identificador CVE, la entrada CVE incluye solo una breve descripción de la vulnerabilidad de seguridad y referencias a más información sobre el CVE, como avisos de proveedores.

Se puede encontrar información adicional sobre cada CVE directamente en los sitios web de los proveedores, así como en la Base de datos nacional de vulnerabilidades (NVD) del NIST. El NVD proporciona puntuaciones basadas en CVSS, información de corrección y otros detalles importantes que a menudo necesitan los equipos de seguridad de la información que desean mitigar la vulnerabilidad o evaluar su prioridad general.

Además, CVE representa vulnerabilidades solo en software sin parches. Si bien los programas tradicionales de gestión de vulnerabilidades consideraban el software sin parches como el problema principal para la resolución, los enfoques modernos basados ​​en el riesgo para la gestión de vulnerabilidades reconocen que hay muchos tipos de «vulnerabilidades» que introducen riesgos en una organización, todos los cuales deben identificarse y mitigarse. Muchos de estos no se ajustan a la definición de CVE y no se pueden encontrar en la lista de CVE.

MITRE Glosario vs. Base de datos NVD

Si el diccionario CVE de MITRE Corporation consta de una lista de entradas, cada una de las cuales documenta una vulnerabilidad única disponible públicamente y se le atribuye un número de identificación, entonces la Base de datos nacional de vulnerabilidades (NVD) es una base de datos de vulnerabilidades elaborada que ofrece análisis de seguridad de las vulnerabilidades.

Si bien la lista CVE de NVD y MITRE son dos entidades separadas, están completamente sincronizadas para que cualquier actualización, cambio y nueva entrada realizada en la lista MITRE se muestre inmediatamente en la base de datos de NVD.

La lista CVE ofrecerá una entrada más sencilla de la vulnerabilidad y le asignará una identificación. Luego, el NVD se basará en esta información y ofrecerá información más amplia sobre la vulnerabilidad, incluida la información de corrección, las opciones de búsqueda y las calificaciones de impacto.

Tanto el glosario CVE como el NVD operan bajo la oficina de Ciberseguridad y Comunicaciones del Departamento de Seguridad Nacional de EE. UU., y ambos están disponibles públicamente y son gratuitos.

Preguntas frecuentes

¿Quién administra CVE?

MITRE mantiene el diccionario CVE y el sitio web CVE, así como el Programa de compatibilidad CVE. El Programa de compatibilidad CVE promueve el uso de identificadores CVE estándar emitidos por autoridades de numeración CVE (CNA) autorizadas.

¿Quién patrocina CVE?

CVE está patrocinado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de Estados Unidos (DHS) y US-CERT.

¿Cualquiera puede usar CVE?

Sí, CVE es de uso gratuito y de acceso público. CVE está diseñado para permitir que cualquiera pueda correlacionar datos entre diferentes vulnerabilidades, herramientas de seguridad, repositorios y servicios.

Cualquiera puede buscar, descargar, copiar, redistribuir, referenciar y analizar CVE siempre que no modifiquen ninguna información.

¿Qué es una entrada CVE?

Una entrada CVE describe una vulnerabilidad o exposición conocida.

Cada entrada CVE contiene un número de identificación estándar con indicador de estado (es decir, «CVE-1999-0067», «CVE-2014-12345», «CVE-2016-7654321»), una breve descripción y referencias a informes y avisos de vulnerabilidad relacionados.

Cada ID de CVE tiene el formato CVE-YYYY-NNNNN. La porción AAAA es el año en que se asignó el ID de CVE o el año en que se hizo pública la vulnerabilidad.

A diferencia de las bases de datos de vulnerabilidades, las entradas CVE no incluyen riesgo, corrección de impacto u otra información técnica.

¿Es CVE una base de datos de vulnerabilidades?

CVE no es una base de datos de vulnerabilidades. CVE está diseñado para permitir la vinculación de bases de datos de vulnerabilidades y otras herramientas. También facilita las comparaciones entre herramientas y servicios de seguridad.

¿Pueden los piratas informáticos utilizar CVE para atacar mi organización?

La respuesta corta es sí, pero muchos profesionales de la ciberseguridad creen que los beneficios de CVE superan los riesgos:

  • CVE está restringido a vulnerabilidades y exposiciones conocidas públicamente.
  • Mejora la posibilidad de compartir vulnerabilidades y exposiciones dentro de la comunidad de ciberseguridad.
  • Las organizaciones deben protegerse a sí mismas y a sus redes solucionando todas las vulnerabilidades y exposiciones potenciales, mientras que un atacante solo necesita encontrar una vulnerabilidad y explotarla para obtener acceso no autorizado. Es por eso que una lista de vulnerabilidades conocidas es tan valiosa y una parte importante de la seguridad de la red.
  • El creciente acuerdo de la comunidad de ciberseguridad para compartir información está reduciendo el vector de ataque de muchos ciberataques. Esto se refleja en la aceptación generalizada de que la Junta de CVE y las Autoridades de numeración de CVE (CNA) son organizaciones clave en ciberseguridad.

Como ejemplo concreto, muchos creen que el ransomware WannaCry, que se propagó a través de la vulnerabilidad EternalBlue, habría tenido menos impacto si la vulnerabilidad se hubiera compartido públicamente.