CVE son las siglas de “Common Vulnerabilities and Exposures” (Vulnerabilidades y Exposiciones Comunes), y se refiere a una lista pública de identificadores únicos para vulnerabilidades de seguridad en software y hardware.
Objetivos de un CVE
El objetivo principal de la creación y utilización de los CVE es proporcionar un estándar universalizado para identificar, catalogar y comunicar vulnerabilidades de seguridad en software, sistemas y dispositivos. Otros objetivos clave:
- Facilitar la comunicación: Los CVEs permiten que la comunidad tecnológica hable sobre vulnerabilidades de seguridad de manera precisa y unificada. Los profesionales de seguridad, investigadores y proveedores pueden utilizar un identificador CVE para referirse a una vulnerabilidad específica en conversaciones, informes y documentación.
- Simplificar la búsqueda y referencia: Los CVEs actúan como etiquetas únicas para cada vulnerabilidad, lo que simplifica la búsqueda y referencia de problemas de seguridad en bases de datos y recursos de seguridad en línea. Esto ayuda a las personas a encontrar información detallada sobre una vulnerabilidad en particular de manera rápida y eficiente.
- Mejorar la colaboración: La estandarización de la nomenclatura de las vulnerabilidades con los CVEs facilita la colaboración entre expertos en seguridad, empresas y la comunidad en general. Permite que los equipos de seguridad compartan información sobre amenazas de manera efectiva y colaboren para resolver problemas de seguridad de manera más rápida y eficiente.
- Priorización de amenazas: Las organizaciones y los usuarios pueden utilizar los CVEs para evaluar el nivel de riesgo de una vulnerabilidad específica. Al conocer la naturaleza y el impacto de la amenaza, pueden tomar decisiones informadas sobre cómo priorizar la mitigación y solución de la vulnerabilidad.
- Ayuda en la investigación y corrección: Las empresas de software y los proveedores de tecnología utilizan los CVEs para identificar y abordar rápidamente las vulnerabilidades en sus productos. Esto ayuda a acelerar el proceso de parcheo y actualización, protegiendo a los usuarios finales de posibles ataques.
Características de un CVE
Las características de un Identificador de Vulnerabilidad y Exposición Común (CVE) incluyen:
- Identificación única: Cada CVE tiene un identificador único que sigue el formato CVE-YYYY-NNNN, donde YYYY es el año de emisión y NNNN es un número secuencial.
- Descripción de la vulnerabilidad: Cada CVE viene con una descripción que detalla la vulnerabilidad específica, cómo se produce y cuáles podrían ser sus impactos.
- Asignación centralizada: Los CVE son asignados y gestionados centralmente por una entidad, como el Sistema de Divulgación de Vulnerabilidades de Mitre Corporation, para garantizar la consistencia y la singularidad.
- Referencias cruzadas: Se proporcionan referencias cruzadas para enlazar la vulnerabilidad con otras bases de datos y fuentes que contienen información adicional sobre esa vulnerabilidad.
- Fecha de publicación: Cada CVE incluye la fecha en que se hizo pública la información sobre la vulnerabilidad.
- Información de actualización: Puede incluir detalles sobre las actualizaciones o soluciones disponibles para abordar la vulnerabilidad.
- Gravedad de la vulnerabilidad: Se puede proporcionar una evaluación de la gravedad de la vulnerabilidad, que generalmente se clasifica como baja, media, alta o crítica.
- Categorización: Las vulnerabilidades suelen ser categorizadas según su tipo (por ejemplo, ejecución remota de código, denegación de servicio, etc.).
- Facilita la comunicación: El sistema CVE facilita la comunicación entre profesionales de ciberseguridad, investigadores y desarrolladores al proporcionar un identificador común para referirse a una vulnerabilidad específica.
- Inclusión en bases de datos de seguridad: La información de CVE se incluye en bases de datos de seguridad, como el Registro Nacional de Vulnerabilidades (NVD), para que las organizaciones puedan realizar un seguimiento y tomar medidas en consecuencia.
Funcionamiento de un CVE
El funcionamiento de los CVEs involucra varias etapas que van desde la identificación de una vulnerabilidad hasta su mitigación y divulgación. Aquí tienes un desglose de estas etapas:
- Identificación de la vulnerabilidad: Un investigador de seguridad, un profesional de ciberseguridad o incluso un usuario pueden descubrir una vulnerabilidad en un software, sistema o dispositivo. Esta etapa implica analizar el comportamiento inusual, el mal funcionamiento o cualquier actividad sospechosa que pueda indicar una posible brecha de seguridad.
- Investigación y verificación: Una vez identificada, la vulnerabilidad debe ser investigada y verificada para comprender su naturaleza y alcance. Los investigadores pueden replicar el problema, evaluar su impacto y determinar si es una verdadera vulnerabilidad de seguridad.
- Asignación de un CVE: Si se confirma que existe una vulnerabilidad, se solicita y se asigna un número CVE a la misma. Este identificador único permite rastrear y comunicar la vulnerabilidad de manera estandarizada.
- Notificación al proveedor: Los investigadores informan al proveedor del software o sistema afectado sobre la vulnerabilidad. Esto proporciona al proveedor la oportunidad de abordar y corregir el problema.
- Desarrollo de un parche: El proveedor trabaja en el desarrollo de un parche o solución que corrija la vulnerabilidad. Este proceso implica identificar el código afectado y realizar cambios para cerrar la brecha de seguridad.
- Prueba y validación del parche: El parche desarrollado se somete a pruebas exhaustivas para garantizar que resuelva la vulnerabilidad sin causar problemas adicionales en el software o sistema.
- Publicación del parche: Una vez que se verifica la eficacia del parche, se publica y distribuye a los usuarios afectados. Esto permite que los usuarios actualicen sus sistemas y resuelvan la vulnerabilidad en sus dispositivos.
- Divulgación pública: Después de que se ha desarrollado el parche y se ha brindado tiempo suficiente para que los usuarios apliquen las actualizaciones, la vulnerabilidad y su solución se divulgan públicamente, incluido el número CVE. Esto permite a la comunidad de seguridad estar al tanto y actualizarse.
- Actualización y mitigación: Los usuarios y organizaciones actualizan sus sistemas con el parche proporcionado por el proveedor. Esto reduce el riesgo de explotación de la vulnerabilidad.
- Seguimiento continuo: La comunidad de seguridad sigue monitoreando y analizando las vulnerabilidades a medida que evolucionan. Si surgen problemas adicionales o se descubren nuevas vulnerabilidades, el ciclo puede repetirse.
Ejemplos reales de CVE
Demuestran cómo las vulnerabilidades pueden variar en términos de gravedad y alcance, y cómo los proveedores de software y sistemas responden mediante la emisión de parches y soluciones para resolver los problemas. Algunos ejemplos reales de CVEs conocidos que ilustran diferentes tipos de vulnerabilidades y cómo se han abordado:
CVE-2014-0160 (Heartbleed)
Esta vulnerabilidad en la implementación de OpenSSL permitía a los atacantes acceder a la memoria de un servidor y robar datos sensibles, como claves privadas y contraseñas. Fue ampliamente conocida y afectó a una gran cantidad de servidores web en todo el mundo. Los proveedores de software parcharon rápidamente y emitieron actualizaciones para resolver la vulnerabilidad.
CVE-2017-0144 (EternalBlue)
Esta vulnerabilidad en el protocolo SMB de Microsoft Windows fue explotada por el ransomware WannaCry en 2017. Permitía la ejecución remota de código en sistemas vulnerables, lo que llevó a un ataque masivo a nivel mundial. Microsoft lanzó un parche para sistemas admitidos y actualizó versiones anteriores para abordar la vulnerabilidad.
CVE-2020-1472 (Zerologon)
Esta vulnerabilidad permitía a los atacantes comprometer la autenticación de Windows Server. Un atacante podría explotar esta vulnerabilidad para obtener acceso de administrador a un controlador de dominio de Windows. Microsoft lanzó parches para resolver esta vulnerabilidad, y las organizaciones se apresuraron a aplicarlos debido a su gravedad.