En palabras sencillas, el CVE (Common Vulnerabilities and Exposures en inglés o vulnerabilidades y exposiciones comunes en español) de los parches es un identificador único asignado a un problema de seguridad detectado en un programa informático. Cuando los expertos descubren un fallo o debilidad en un programa, le asignan un ID CVE.
Esto ayuda a que todos hablen del mismo problema y trabajen juntos para solucionarlo. Existe un programa CVE, cuyo objetivo es identificar, definir y clasificar las vulnerabilidades de ciberseguridad divulgadas públicamente.
¿Qué es el CVE?
El programa CVE está supervisado por la corporación MITRE con financiación de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), que forma parte del Departamento de Seguridad Nacional de EE. UU. A continuación se explica su funcionamiento:
- Identificación de vulnerabilidades: cuando se descubre una vulnerabilidad de seguridad, ya sea por parte de investigadores de seguridad, vendedores u otras partes interesadas, se le asigna un identificador CVE único.
- Asignación CVE: el Programa CVE asigna un ID CVE a cada vulnerabilidad notificada. Este identificador sigue un formato específico, normalmente compuesto por el prefijo «CVE» seguido de un año y un número secuencial (por ejemplo, CVE-2024-12345).
- Creación del registro CVE: se crea un registro CVE para cada ID CVE asignado. Este registro incluye información detallada sobre la vulnerabilidad, como su descripción, las versiones de software afectadas, el impacto potencial y cualquier mitigación o solución disponible.
- Difusión pública: Los registros de CVE se ponen a disposición del público a través de la base de datos de CVE y otros canales. Esto permite a los profesionales de la seguridad, proveedores, investigadores y usuarios acceder a información sobre vulnerabilidades conocidas y tomar las medidas adecuadas para solucionarlas. Es importante señalar que antes de la difusión pública, los proveedores afectados son informados de la vulnerabilidad encontrada para que puedan trabajar en la mitigación de antemano.
- Coordinación y colaboración: el Programa CVE facilita la colaboración entre diversas partes interesadas, como proveedores, investigadores, coordinadores de vulnerabilidades y la comunidad de ciberseguridad en general. Esta colaboración ayuda a garantizar que las vulnerabilidades se aborden con eficacia y que la información pertinente se comparta con transparencia.
- Referencias cruzadas: los identificadores CVE se utilizan ampliamente como referencia en avisos de seguridad, bases de datos de vulnerabilidades y otros recursos de ciberseguridad. Esto permite intercambiar y vincular fácilmente la información relacionada con vulnerabilidades específicas en diferentes plataformas y repositorios.
- Supervisión y actualizaciones continuas: el Programa CVE supervisa continuamente la aparición de nuevas vulnerabilidades y actualiza las entradas CVE existentes a medida que se dispone de nueva información. De este modo se garantiza que la base de datos del CVE siga siendo precisa y esté actualizada con el paso del tiempo.
En general, el programa CVE desempeña un papel fundamental en la normalización de la identificación, documentación y comunicación de vulnerabilidades, facilitando así prácticas eficaces de ciberseguridad y mejorando la postura general de seguridad en todo el panorama digital.
¿Qué es un ejemplo de CVE?
Allá por 2018 se anunció una vulnerabilidad que afectaba a los microprocesadores modernos, se llamaba Spectre. Afectaba a todos los procesadores que utilizan la ejecución especulativa.
El impacto de esta vulnerabilidad fue enorme, ya que casi todos lossistemas informáticos del mundo se vieron afectados, incluidos servidores, ordenadores, portátiles y dispositivos móviles, y se demostró que funcionaba en procesadores Intel, AMD, basados en ARM e IBM. Dada su importante repercusión, causó especial interés en la comunidad de TI.
CVE-2017-5753 y CVE-2017-5715 son las referencias oficiales de Spectre y la razón de tener dos es porque hay dos variantes diferentes para esta vulnerabilidad.
¿Cuál es la relación entre parches, vulnerabilidades y CVE?
Los parches y las vulnerabilidades y exposiciones comunes (CVE) son componentes estrechamente interconectados en el ámbito de la ciberseguridad. Las vulnerabilidades representan debilidades o defectos en software, hardware o sistemas que los actores maliciosos pueden explotar para comprometer la seguridad.
Una vez descubiertas las vulnerabilidades, los desarrolladores publican parches o actualizaciones para corregirlas, mejorando así la seguridad del sistema o software afectado.
Los CVE, por su parte, son identificadores normalizados que se asignan a vulnerabilidades difundidas públicamente, proporcionando un punto de referencia único para rastrear y debatir problemas de seguridad en diversas plataformas y organizaciones.
Los parches son los remedios diseñados para solucionar las vulnerabilidades, y los CVE sirven como nomenclatura normalizada para identificar y comunicar estas vulnerabilidades, facilitando la colaboración y el intercambio de información dentro de la comunidad de ciberseguridad.
Esta relación destaca lo importante que es aplicar los parches rápidamente para mitigar los riesgos de seguridad y el papel de los CVE en la racionalización de la gestión de vulnerabilidades y los esfuerzos de comunicación.
¿Cómo puedo saber si mi sistema está afectado por un CVE?
- El número de CVE notificados es enorme, por lo que hacer un seguimiento de cada uno de los que afectan al sistema es complejo. Afortunadamente, los desarrolladores de software corrigen las vulnerabilidades en las nuevas versiones de software, por lo que normalmente, en el momento en que se actualizan el sistema operativo y las aplicaciones, los CVE más antiguos ya están resueltos y no hay necesidad de preocuparse por ellos. Los sistemas más antiguos pueden estar en riesgo, pero con los nuevos CVE que aparecen cada día, todavía hay algún riesgo con los sistemas más nuevos.
- Los parches de software se clasifican de diferentes maneras, pero los parches críticos y de seguridad son los que abordan las vulnerabilidades. Si a tu sistema le falta alguno de ellos, es probable que esté afectado por una vulnerabilidad notificada en un CVE.
- La forma de estar seguro es contar con un sistema de gestión de parches que garantice que los sistemas están al día con los parches. Dado que las aplicaciones y los sistemas operativos tienen un soporte limitado, en algún momento los proveedores dejan de investigar y publicar actualizaciones de seguridad, por lo que mantenerse al día en hardware, sistema operativo y aplicaciones es otra parte crucial.
¿Puede NinjaOne detectar sistemas afectados por un CVE?
NinjaOne puede detectar sistemas que carecen de parches. También puede identificar clasificaciones de parches. El uso de NinjaOne puede ayudar a detectar sistemas a los que les faltan parches críticos o de seguridad que se consideran vulnerables y probablemente afectados por una vulnerabilidad reportada en un CVE.