CVE è un acronimo che sta per Common Vulnerabilities and Exposures e si tratta di un progetto finanziato dal Dipartimento di Sicurezza Nazionale Statunitense e dall’agenzia di Cibersecurity e Infrastructure Security.
Si tratta di un database pubblico nel quale vengono aggiunte e aggiornate vulnerabilità in modo che chiunque possa accedervi e utilizzarlo.
E’ un tool molto utile e viene utilizzato come standard per vari istituti di ricerca nel mondo
Ogni vulnerabilità inserita nel CVE, come vendremo successivamente, ha dei parametri di classificazione. Uno dei più importanti è il CVSS ovvero Common Vulnerability Scoring System cioè uno standard che indica la gravità di una vulnerabilità informatica da 0 a 10.
I parametri col quale viene calcolato il CVSS sono:
- Vettore di attacco (AV);
- Complessità dell’attacco (AC);
- Permessi richiesti (PR);
- Interazione da parte dell’utente (UI);
- Impatto in termini di confidenzialità delle informazioni, integrità dei sistemi e funzionalità dei sistemi
Cosa sono gli identificatori CVE
Gli identificatori CVE, o CVE identifiers, sono dei codici che identificano in modo univoco ogni vulnerabilità in sicurezza informatica. Gli identificatori possono avere lo status di voci, entry, o candidati, candidates a seconda che siano già stati inseriti negli elenchi CVE o che siano sotto verifica per poi essere inclusi.
Esistono 3 modalità con le quali un ID CVE può essere assegnato:
- Dalla Mitre Corportion, che è l’azienda proprietaria;
- Dalle CNA riguardo ai propri prodotti (come Apple o Microsoft);
- Da terze parti come il CERT che quindi può assegnare ID per i prodotti non coperti dalle CNA
Non è detto che un identificatore dopo essere stato approvato sia immediatamente reso pubblico, e questo dipende principalmente da problemi relativi alla loro divulgazione.
In ogni caso le CVE riguardano software pubblici comprese le versioni beta mentre fra le categorie che non troviamo ci sono sistemi custom non distribuiti o servizi addizzionali.
Come potete vedere qua in basso sul sito ufficiale è possibile effettuare una ricerca della vulnerabilità inserendo l’ID della vulnerabilità
Quali vulnerabilità sono incluse negli elenchi CVE
Gli identificatori CVE vengono rilasciati a falle che soddisfano certi criteri:
- Sono correggibili in modo indipendente: cioè la vulnerabilità può essere corretta in modo indipendente da un qualsiasi altro bug;
- Riconosciute dal produttore: cioè il produttore o fornitore del software/hardware attesta che il bug esiste che ne conferma il potenziale impatto negativo sulla sicurezza; in alternativa chi segnala la vulnerabilità in maniera autonoma può produrre un report nel quale prova l’impatto negativo di quel bug, mostrando l’impatto negativo che ha avuto sulla sicurezza del sistema;
- Con impatto su un codebase: Alle falle che colpiscono più di un prodotto vengono assegnati CVE distinti. In presenza di librerie, protocolli o standard condivisi, alla falla viene assegnato un unico CVE soltanto nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità. Al contrario, a ogni codice o prodotto interessato dalla falla viene assegnato un CVE univoco.
Common Vulnerabilities Scoring System
Il CVSS è, come abbiamo già detto, uno standard che certifica il livello di gravità di una particolare vulnerabilità inserita all’interno degli elenchi CVE.
CVSS è costituito da tre gruppi metrici: Base, Temporale e Ambientale. Le metriche Base generano un punteggio compreso tra 0 e 10, che può quindi essere modificato assegnando un punteggio alle metriche Temporale e Ambientale. Un punteggio CVSS è anche rappresentato come una stringa vettoriale cioè una rappresentazione testuale compressa dei valori utilizzati per derivare il punteggio. Pertanto, CVSS è adatto come sistema di misurazione standard per industrie, organizzazioni e governi che necessitano di punteggi di gravità della vulnerabilità accurati e coerenti. Due usi comuni di CVSS sono il calcolo della gravità delle vulnerabilità scoperte sui propri sistemi e come fattore di prioritizzazione delle attività di riparazione delle vulnerabilità. Il National Vulnerability Database (NVD) fornisce punteggi CVSS per quasi tutte le vulnerabilità
Download offline
Sulla pagina ufficiale di Mitre CVE, potete trovare anche una sezione in cui potrete scaricare la lista delle vulnerabilità in modalità offline sui vostri pc in vari formati
Come utilizzare igli elenchi CVE
Gli elenchi CVE rilasciano quindi informazioni importanti riguardo alla sicurezza dei prodotti sia hardware che software. Vediamo alcuni suggerimenti per utilizzare al meglio queste informazioni:
- Analizza i dati: il fatto che ci sia un CVE specifico non significa per forza che uno specifico ambente o sistema non sia sicuro;
- Utilizza programmi di gestione delle vulnerabilità: La gestione delle vulnerabilità è un processo utilizzato per identificare e classificare le vulnerabilità di uno o più sistemi. In sostanza serve per analizzare i rischi e comprenderli in modo da capire con che priorità vanno risolti;
- Divulga ciò che scopri: Molto importante quando si viene a conoscenza di una falla nel sistema, avvertire il centro di sicurezza informatica della propria azienda in modo da essere pronti per afftontarla al meglio
L’importanza della sicurezza informatica in azienda è uno step fondamentale ed indispensabile per essere competitivi e vincenti in un’era digitalizzata come quella che stiamo vivendo. E’ perciò importante essere pronti a scovare e superare ogni vulnerabilità dei propri sistemi informatici.
Nexsys offre un servizio di consulenza per verificare le falle di sicurezza della tua azienda e per capire come proteggere i dati e le informazioni tue e dei tuoi clienti.
Se invece sei interessato ad imparare come fare tutto questo in autonomia intraprendendo un percorso dove verrai seguito da docenti preparati, Nexsys propone corsi di formazione in Ethical Hacking per renderti un esperto in sicurezza informatica.