¿Qué es un CVE?
Los CVE proporcionan una base para evaluar y gestionar los riesgos asociados a las vulnerabilidades de un sistema, facilitando su identificación, seguimiento y corrección.
¿Qué significa CVE?
CVE responde al acrónimo de Common Vulnerabilities and Exposures. Hace referencia a una lista de nombres y códigos estandarizados para nombrar vulnerabilidades y exposiciones de seguridad de la información, con el objetivo de darlas a conocer públicamente. Cada vulnerabilidad tiene un número de identificación único, lo que proporciona una forma de compartir datos e información sobre estas vulnerabilidades públicamente.
Un CVE es, pues, un identificador estándar para las vulnerabilidades de seguridad de la información. Además del número único, un CVE asigna también una descripción breve a cada vulnerabilidad conocida para facilitar su búsqueda, análisis y gestión.
El objetivo de los CVE es proporcionar una referencia común y unificada para las vulnerabilidades, de modo que se puedan compartir y comparar fácilmente entre diferentes fuentes de información, herramientas y servicios. Los CVE también ayudan a mejorar la concienciación y la transparencia sobre las amenazas a la seguridad de la información, así como a fomentar la cooperación y la coordinación entre los distintos actores involucrados en la prevención, detección y respuesta a las mismas.
Antes de adentrarnos en el funcionamiento del sistema CVE, conviene diferenciar qué es una vulnerabilidad y una exposición.
Diferencias entre una vulnerabilidad y una exposición
Tal y como indica INCIBE, una vulnerabilidad es un fallo técnico o deficiencia en un programa que puede permitir a un usuario no legítimo acceder a información o realizar operaciones no autorizadas de forma remota.
Una exposición es la divulgación pública de una vulnerabilidad, de forma que puede ser explotada fácilmente por un atacante. La exposición no constituye una debilidad en sí misma, sino más bien, la medida de visibilidad, y por tanto accesibilidad y riesgo, que tienen las vulnerabilidades. Las exposiciones pueden dar lugar a violaciones de datos, fugas de datos e información de identificación personal (PII) que se vende en la Dark Web.
Un ejemplo de exposición de datos podría ser la publicación accidental de código en un repositorio de Github.
¿Cómo funciona el sistema CVE?
El proyecto de seguridad que dio lugar a los CVE nació en 1999 centrado en software de lanzamiento público y financiado por la División de Seguridad Nacional de EE.UU.
Los CVE son emitidos por el Programa CVE. Este programa es una iniciativa internacional que coordina y mantiene una base de datos pública y gratuita de las vulnerabilidades reportadas por investigadores, organizaciones y empresas de todo el mundo. El Programa CVE es gestionado por el Instituto de Ingeniería de Software del MITRE Corporation, una organización sin ánimo de lucro que trabaja en colaboración con el gobierno de Estados Unidos y otros socios.
Los CVE se pueden consultar en el sitio web oficial del Programa CVE , donde se puede buscar por número, palabra clave, producto, proveedor o fecha. También se pueden consultar en otras fuentes secundarias que recopilan y analizan los CVE, como el National Vulnerability Database (NVD) de Estados Unidos, que proporciona información adicional sobre el impacto, la severidad y las soluciones de cada vulnerabilidad.
El proyecto cooperativo
El glosario de CVE utiliza el Protocolo de automatización de contenido de seguridad (SCAP) para recopilar información sobre vulnerabilidades y exposiciones de seguridad, catalogarlas según varios identificadores y proporcionarles identificadores únicos.
El programa es un proyecto cooperativo basado en la comunidad que ayuda a descubrir nuevas vulnerabilidades. Los CVE son descubiertos, asignados y publicados en las listas para que sean de conocimiento público. No incluye datos técnicos ni información sobre riesgos, impactos y remediación. De esta forma, el CVE consiste en una breve descripción del error y la versión o componente que se ve afectado. También indica dónde averiguar cómo solucionar la vulnerabilidad o exposición.
Los CVE se publican una vez que se ha corregido el error. Esto, por pura lógica, se hace para no exponer a los usuarios afectados a un riesgo sin poder solucionarlo. De hecho, este es uno de los criterios que siguen los CVE: la vulnerabilidad se puede corregir independientemente de otros errores o vulnerabilidades.
El reconocimiento por parte del proveedor de software o hardware también es importante. O bien, el denunciante debe haber compartido un informe de vulnerabilidad que demuestre el impacto negativo del error y que viola la política de seguridad del sistema afectado.
Identificación de un CVE
Como se mencionó anteriormente, la identificación de los CVE es única. Esta nomenclatura consta de un ID y una fecha que indica cuándo fue creado por MITRE, seguido de un campo de descripción individual y un campo de referencia.
Si MITRE no notificó la vulnerabilidad directamente, pero fue asignada primero por un grupo asesor o un grupo asesor de seguimiento de errores, el campo de referencia incluirá vínculos URL al grupo asesor o rastreador de errores que envió la vulnerabilidad por primera vez. Otros enlaces que pueden aparecer en este campo son a páginas de productos afectadas por la CVE.
Los CVE son una herramienta esencial para los profesionales de la seguridad de la información, ya que les permiten identificar, priorizar y remediar las vulnerabilidades que afectan a sus sistemas y redes. Los CVE también son útiles para los usuarios finales, ya que les ayudan a estar informados sobre los riesgos potenciales a los que se enfrentan y a tomar medidas para protegerse, como actualizar sus aplicaciones o evitar el uso de productos o servicios comprometidos.