Spesso quando si parla di vulnerabilità e sicurezza, uno degli acronimi ricorrenti è CVE.
Ma di cosa si tratta?
Un elenco CVE (per gli amici Common Vulnerabilities and Exposures) è un elenco di falle nella sicurezza informatica divulgato al pubblico. Queste CVE sono contraddistinte da un ID che permette di identificare in modo univoco le diverse vulnerabilità note.
Si tratta, quindi, di un database pubblico nel quale vengono aggiunte e aggiornate vulnerabilità in modo che chiunque possa accedervi e utilizzarlo.
È un tool molto utile e viene utilizzato come standard per vari istituti di ricerca nel mondo.
Come funziona un sistema CVE?
Un sistema CVE è controllato dal MITRE (associazione americana nata per supportare diverse Agenzie governative in vari campi, tra cui quello della sicurezza informatica) ed è supportato dall’Agenzia per la sicurezza informatica e delle infrastrutture che fa capo al Dipartimento della sicurezza interna degli Stati Uniti.
Le voci presenti in questo elenco sono molto sintetiche e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni si possono però trovare in altri database, come l’U.S. National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri ancora.
Essendoci molti sistemi di informazione, come menzionato prima, gli ID delle CVE sono un metodo attendibile per distinguere una specifica vulnerabilità di sicurezza da un’altra.
Gli identificativi CVE
Ma chi è che assegna un ID a una CVE? Lo può fare chiunque?
Chiaramente no: di solito è una CVE Numbering Authority (CNA) ad assegnare gli identificativi CVE. Esistono circa 100 CNA e rappresentano i principali fornitori IT presenti sul mercato, nonché le principali società assicurative e gli enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.
Ogni CNA riceverà determinati blocchi di CVE, che verranno poi assegnati alle relative falle non appena vengono rilevate.
Non stiamo parlando di una, due o tre vulnerabilità, ma di migliaia ogni anno. Pensa che, ad esempio, per un software “particolare” come un sistema operativo, possono venire assegnate centinaia di CVE.
In generale, esistono tre modalità con le quali un ID di una CVE può essere assegnato:
- dalla Mitre Corporation, che è l’azienda proprietaria;
- dalle CNA riguardo ai propri prodotti (come Apple o Microsoft);
- da terze parti come il CERT che può assegnare ID per i prodotti non coperti dalle CNA.
Ma chi si occupa di segnalare le CVE?
Letteralmente chiunque si imbatta in una potenziale vulnerabilità.
Addirittura, alcuni produttori di software incoraggiano questa ricerca offrendo delle ricompense per l’individuazione dei bug. Il che porta utenti e fornitori ad avere uno stimolo in più per cercare e segnalare queste falle (che altrimenti potrebbero finire nelle mani sbagliate e causare una marea di danni).
Dalla rilevazione alla pubblicazione
Come abbiamo visto, il percorso che porta una vulnerabilità dall’essere rilevata all’essere identificata e resa pubblica è composto da più fasi:
- in primis, le informazioni su una falla di sicurezza giungono a un CNA e possono farlo in vari modi;
- il CNA, quindi, abbina queste informazioni a un ID di una CVE e stila una breve descrizione includendo dei riferimenti, ad esempio link a report o advisory;
- a questo punto avviene la pubblicazione sul sito web delle CVE;
- una volta resa pubblica, una voce CVE include anche l’ID, nel formato “CVE-2022-1234567”, oltre che la descrizione della vulnerabilità o dell’esposizione.
Non è detto che un identificatore dopo essere stato approvato sia immediatamente reso pubblico, e questo dipende principalmente da problemi relativi alla loro divulgazione.
Spesso, infatti, per ridurre la possibilità che un aggressore possa sfruttare una vulnerabilità prima che arrivi la patch, i fornitori tendono a volerle tenere segrete fino a quando non viene resa disponibile una soluzione sufficientemente testata.
Vulnerabilità incluse negli elenchi CVE
Non a tutte le vulnerabilità viene assegnato un ID, accade solo per quelle che soddisfano determinati criteri, vediamo quali sono:
- la falla deve poter essere corretta in modo indipendente da qualsiasi altro bug;
- la falla deve essere stata confermata dal fornitore del prodotto o documentata, occorre quindi che il bug sia riconosciuto così come il suo impatto negativo sulla sicurezza;
- la falla ha impatto su un codebase, cioè su un’intera collezione di codice sorgente usata per costruire una particolare applicazione o componente. Se il bug incide su più di un prodotto, verranno assegnate CVE distinte, mentre verrà assegnata un’unica CVE solo nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità.
Per concludere, due parole sull’importanza della sicurezza informatica nella propria azienda e in quella dei propri clienti: si tratta di uno step fondamentale e indispensabile per essere competitivi e vincenti in un’era digitalizzata come quella che stiamo vivendo. Attacchi informatici e data breach sono all’ordine del giorno, è perciò importante essere pronti a scovare e superare ogni vulnerabilità presente nei sistemi informatici prima che lo faccia qualche malintenzionato.
ConnectSecure Vulnerability Management può fare al caso tuo: si tratta di una piattaforma cloud di vulnerability assessment che ti permette di rilevare, gestire e proteggere gli asset e le reti dei clienti. ConnectSecure Vulnerability Management può scandagliare l’infrastruttura dei tuoi clienti alla ricerca di vulnerabilità non patchate o software non aggiornati, in modo da ridurre al minimo il rischio di un attacco.
Se vuoi sapere cos’è un vulnerability assessment, come va eseguito e come la soluzione automatizza molte attività fondamentali per la sicurezza dei sistemi, abbiamo preparato una sessione on demand.