É muito provável que já tenha ouvido falar de "CVE", que significa Common Vulnerabilities and Exposures (vulnerabilidades e exposições comuns). Os CVEs são listados numa enorme base de dados que regista os problemas de segurança informática conhecidos. Isto permite um acesso e uma referência fáceis. Assim, se ouvir alguém falar de um CVE - ou de um registo CVE - isso significa que a falha de segurança é conhecida e já foi catalogada.
O objetivo do rastreio de CVEs é o seguinte: a partilha e a catalogação de falhas de segurança conhecidas permite que o pessoal da cibersegurança dê prioridade e lide com as vulnerabilidades, tornando a nuvem, o código e qualquer outro sistema de TI mais seguro.
Basicamente, o sistema CVE proporciona uma linguagem comum e um ponto de referência. Mas - e este é o grande "mas" - tenha em conta que o meu problema pode não ser o seu problema!
Quem mantém a base de dados CVE?
A corporação MITRE supervisiona o sistema CVE e todos os registos CVE são gratuitos para pesquisa e utilização pelo público. A Cybersecurity and Infrastructure Security Agency (CISA) ajuda a fornecer financiamento. As entradas CVE são curtas e simples - não há dados técnicos profundos aqui. As entradas CVE também não comentam as correcções, os riscos e os impactos. Os pormenores mais importantes são registados noutras bases de dados. Alguns exemplos incluem a Base de Dados Nacional de Vulnerabilidades dos EUA (NVD) e a Base de Dados de Notas de Vulnerabilidade CERT/CC.
Qual é o aspeto de uma ID CVE?
Um ID CVE é como um número de série. Quando se olha para uma entrada CVE, vê-se o ID CVE, que tem o seguinte aspeto: "CVE-YYYY-#####".
O que inclui um registo CVE?
Um registo CVE inclui as seguintes informações:
- ID CVE
- Descrição
- Referências
- Atribuição de CNA
- Data de criação do registo
Os registos CVE também incluem alguns elementos antigos, que não são relevantes para as novas entradas: fase, votos, comentários, propostas.
Como é que encontram vulnerabilidades e exposições?
Qualquer pessoa pode comunicá-los, desde uma empresa de tecnologia a um utilizador curioso. Algumas até oferecem prémios para quem encontrar e comunicar estes problemas. Se se tratar de software de código aberto, o que importa é o apoio da comunidade.
Quando uma vulnerabilidade é comunicada, um CNA atribui-lhe um ID CVE, escreve uma breve descrição e acrescenta algumas referências. Depois, é publicado no sítio Web do CVE. Por vezes, até obtêm uma ID antes de o problema se tornar público. Mantém os maus da fita à distância.
Agora, nem todas as edições recebem um CVE. Claro que há regras! Aplicam-se três critérios principais:
- Independentemente corrigível. Isto significa que a falha é corrigível, independente e irrelevante para outros erros.
- Reconhecido pelo fornecedor. Isto significa que o fornecedor reconhece que a falha existe e que pode afetar negativamente a segurança. Outra opção é ter um relatório de vulnerabilidade compartilhado que inclua uma descrição do impacto negativo do bug e como ele viola a política de segurança do sistema.
- Afecta apenas uma base de código. Se afetar mais do que um produto, estes recebem CVEs separados. A ideia é criar registos CVE com o máximo de isolamento possível.
Como posso encontrar registos CVE?
Em primeiro lugar, as informações do CVE são gratuitas e estão à disposição do público. Por isso, é uma boa notícia.
A forma mais fácil de encontrar os CVEs mais recentes é seguir @CVEnew no X. Este feed está constantemente a ser atualizado com tweets sobre vários CVEs novos todos os dias. Ainda ontem dei uma olhada e havia mais de 80 novos CVEs! Se o seguires, o teu feed estará cheio deles!
E que tal uma forma mais completa de encontrar registos CVE anteriores? Se quiser todos os registos desde 1999 ou de um determinado ano, ou mesmo pesquisar por tópico, basta ir a CVE.org/Downloads. Os ficheiros em massa estão agora no formato JSON 5.0 e podem ser descarregados através de um repositório GitHub. (Nota: o sistema de arquivo anterior ficará indisponível em 1 de janeiro de 2024).
A CVEdetails.com tem uma versão em linha da base de dados fácil de utilizar - com actualizações diárias!
Como fazer corresponder as suas bibliotecas ao CVE correto?
Ao analisar uma vulnerabilidade, pretende obter o CVE correto. Para se certificar de que tem o CVE correto, a melhor prática é verificar o número da versão e o nome do pacote. Existem muitas ferramentas, como o Trivy, que fazem isso automaticamente para você. (O Aikido utiliza o Trivy para algumas destas funcionalidades).
Sistema comum de pontuação de vulnerabilidades - CVSS
O NVD e outros utilizam o Common Vulnerability Scoring System (CVSS), que determina a gravidade de uma vulnerabilidade ou exposição. É como um boletim de notas para problemas de segurança, variando de 0,0 (nada de mais) a 10,0 (grande problema). Assim, cada entrada CVE tem uma pontuação CVSS.
Como é calculada uma pontuação CVSS?
A pontuação CVSS é calculada através de uma fórmula baseada em métricas de vulnerabilidade. Uma pontuação CVSS resulta de pontuações destas três áreas: Base, Temporal e Ambiental. A pontuação Base é obrigatória e o ponto de partida e tem subescores de impacto e explorabilidade. Depois, a pontuação Temporal pode ser calculada a partir da Base. A seguir, a pontuação Ambiental pode ser calculada a partir da Temporal. Estes cálculos conduzem à pontuação CVSS global.
Algo para os geeks das fórmulas! Veja como funciona o sistema de pontuação e a calculadora CVSS. Descubra quais são os cálculos e que métricas precisas criam cada pontuação. Vetor de ataque! Anexar complexidade! Muita diversão!
O que é a escala de pontuação CVSS?
A escala de pontuação CVSS atual (v3.1) inclui cinco categorias:
- 9.0 - 10.0 = Crítico
- 7,0 - 8,9 = Elevado
- 4,0 - 6,9 = Médio
- 0,1 - 3,9 = Baixo
- 0,0 = Nenhum
Descarregue uma cópia do guia do utilizador do sistema de pontuação CVSS completo.
Como posso encontrar uma pontuação CVSS para um registo CVE?
Isto é fácil! Quando estiver na base de dados em linha, cada página de registo CVE tem uma ligação para a pontuação CVSS do NVD. Basta clicar e pronto! Por exemplo, utilizando o CVE-2023-40033 referido anteriormente neste post, quando clicamos em "CVSS scores" (canto superior direito do registo) ficamos a saber que esta vulnerabilidade tem uma pontuação de 7.1 (Alta).
O que é uma CWE?
A Common Weakness Enumeration, ou CWE, é uma lista de pontos fracos comuns de software e hardware. A CWE é um recurso desenvolvido pela comunidade e fornece padronização para o tipo e o escopo dos pontos fracos.
Citando o MITRE, "o principal objetivo do CWE é acabar com as vulnerabilidades na fonte... para eliminar os erros mais comuns antes de os produtos serem entregues". O CWE também oferece aos programadores uma estrutura para discussão e ação contra as ameaças à segurança, ao mesmo tempo que mapeia as bases de dados de vulnerabilidades (por exemplo, CVE).
Em que é que isso difere do CVE? O CWE concentra-se na fraqueza subjacente que pode levar a uma vulnerabilidade. Entretanto, o CVE descreve as vulnerabilidades reais. Tal como o CVE, o CWE também tem uma pontuação de gravidade através do CWSS e do CWRAF.
Veja as 25 CWEs mais perigosas para 2023.
O que posso fazer para manter uma postura de segurança forte?
Não siga cegamente as pontuações CVSS para definir as suas prioridades de segurança
Todos os CVEs são um problema para si? Não. São informações, mas como muitas informações, nem todos os CVEs serão relevantes para o seu contexto. E, mesmo para aqueles que parecem ser, há muitas situações em que mesmo os CVE com pontuações CVSS elevadas podem não ser relevantes ou um risco para si:
- Nível de impacto nos negócios: Uma vulnerabilidade, apesar de ter uma pontuação CVSS elevada, não representa um risco significativo para as operações comerciais específicas da organização, para os dados dos clientes ou para o sistema crítico. Ou, uma avaliação de risco ou outra ferramenta determina que outros factores (por exemplo, uma função não é acessível) superam a pontuação CVSS em importância.
- Sistemas únicos: Ao utilizar software personalizado ou exclusivo, as pontuações CVSS podem não refletir com precisão o risco real associado às vulnerabilidades em sistemas específicos.
- Limitações de recursos: Adoraria corrigir todas as vulnerabilidades CVSS com pontuação elevada, mas tem de ser realista. Estabeleça prioridades antes de investir toneladas de recursos em algo que não é rentável.
- Já está protegido: É possível que já tenha defesas sólidas implementadas. Mesmo que uma vulnerabilidade obtenha uma pontuação elevada, poderá decidir que não vale a pena se já tiver salvaguardas que a mantenham sob controlo.
- Sensibilização para as CWEs: Estar ciente das CWEs que podem afetar o que está a entregar.
Obter um scanner de vulnerabilidades
Também estão a surgir novas plataformas que o ajudam a detetar tendências emergentes - veja o Fletch, que é especializado na velocidade de consciencialização e contextualização de ameaças. O Nessus verifica mais de 59.000 CVEs. O Nexpose utiliza o seu próprio sistema de pontuação que tem em conta a idade das vulnerabilidades e o tipo de correcções e soluções já implementadas. O Nmap e o OpenVAS são scanners de vulnerabilidades de código aberto.
Entretanto, porque não testar o Aikido Security para monitorizar e melhorar a sua postura geral de segurança? Experimente o Aikido gratuitamente!
Antecipar-se à CurVE
O problema dos CVE é que se referem ao PASSADO, ou seja, a vulnerabilidades e exposições que já aconteceram. Isto significa que, por vezes, os maus actores têm tempo para causar danos antes de termos tempo para reagir. Para além de utilizar um scanner de vulnerabilidades, certifique-se de que toma medidas para gerir o seu risco. Estas podem incluir a garantia de que os patches estão actualizados e a realização de testes de penetração.
TL;DR sec fornece uma boa análise da cadeia de fornecimento de software e, mais importante, como proteger cada fase.
Além disso, gostamos de manter os utilizadores do Aikido (gratuitos e pagantes) e os nossos seguidores do LinkedIn informados com publicações relevantes no LI. Por exemplo, aqui está um post recente que colocámos sobre o CVE-2023-4911 - o (não tão engraçado) bug Looney Tunables.
Verifique o seu código para detetar as explorações mais comuns
Utilize as referências de conformidade OWASP Top 10 e CIS para verificar o seu código. Estas ferramentas padrão ajudam-no a lidar com os pontos fracos mais comuns (OWASP) e as configurações de base para a cibersegurança (CIS).
Veja como pontua diretamente no Aikido: Relatório CIS / Relatório OWASP Top 10
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)