Punti chiave
Importanza dei CVE nella cybersecurity
I CVE sono essenziali per identificare, catalogare e risolvere le vulnerabilità del software, aiutando le organizzazioni a ridurre il rischio, a dare priorità alle patch e a rafforzare la sicurezza generale.
Qualificazione CVE e processo di emissione
Per essere classificata come CVE, una vulnerabilità deve essere risolvibile in modo indipendente, documentata e riconosciuta dal fornitore e interessare una specifica base di codice. Le organizzazioni CNA autorizzate presentano e assegnano i CVE attraverso il MITRE.
Struttura dell’identificatore CVE e punteggio
Gli ID CVE seguono il formato “CVE-anno-numero” e le vulnerabilità sono spesso abbinate a punteggi CVSS (Common Vulnerability Scoring System) (0-10) per quantificare la gravità.
Vantaggi e casi d’uso nella cybersecurity
I CVE semplificano i flussi di lavoro delle patch, favoriscono l’interoperabilità degli strumenti e la condivisione delle informazioni sulle minacce e supportano la conformità alle normative (ad esempio PCI DSS, HIPAA).
Limitazioni ed esempi reali
Le sfide più comuni includono l’assegnazione tardiva dei CVE, la documentazione ambigua e i CVE duplicati per difetti correlati. Esempi ad alto impatto come EternalBlue (WannaCry), Heartbleed, PrintNightmare, Zerologon e Apache Struts (Equifax) illustrano perché la consapevolezza tempestiva dei CVE è importante.
Poiché le organizzazioni e gli individui si affidano sempre più alla tecnologia per molti aspetti della loro vita, la sicurezza delle risorse digitali è sempre più preoccupante. Dai dati personali alle infrastrutture critiche, il panorama digitale è ricco di potenziali vulnerabilità che possono essere sfruttate da soggetti malintenzionati. La cybersecurity è diventata un imperativo mainstream, dato che le violazioni e le minacce informatiche continuano ad aumentare.
Le CVE (Common Vulnerabilities and Exposures) sono alla base della gestione delle vulnerabilità e svolgono un ruolo fondamentale nella comprensione, categorizzazione e correzione delle vulnerabilità del software. Questa guida esplora il concetto di CVE, cosa sono, come sono strutturati e come contribuiscono alla gestione dei problemi di sicurezza.
Che cos’è un CVE?
Un CVE è un identificatore standardizzato assegnato a una specifica vulnerabilità del software. Fornisce un punto di riferimento unico per i professionisti della cybersecurity, i fornitori e i ricercatori per discutere, condividere e mitigare le vulnerabilità di diversi sistemi e piattaforme. I CVE forniscono un linguaggio comune per esplorare e gestire le vulnerabilità.
Consideriamo alcuni esempi per comprendere l’applicazione pratica di CVE. Nel 2017 la famigerata CVE-2017-0144, nota anche come EternalBlue, ha esposto le vulnerabilità del protocollo SMB di Microsoft, portando all’attacco globale del ransomware WannaCry.
Un altro esempio è CVE-2014-0160, il bug Heartbleed del 2014, che ha colpito la libreria software crittografica OpenSSL. Questi esempi evidenziano il ruolo critico dei CVE nella comprensione e nella gestione delle vulnerabilità su scala globale.
Rileva quando agli endpoint mancano patch critiche o di sicurezza, spesso legate a CVE noti.
→ Inizia una prova gratuita di NinjaOne Patch Management
Cosa si intende per CVE?
La CVE Numbering Authority (CNA) è un’entità che supervisiona le vulnerabilità segnalate. In genere sono composte da organizzazioni tecnologiche autorizzate ad assegnare ID CVE alle vulnerabilità dei propri prodotti o di prodotti che rientrano in un ambito definito. Per standardizzare l’identificazione delle CVE, la CNA ha stabilito delle regole operative che stabiliscono cosa si qualifica come CVE. Ecco i loro criteri:
Deve essere riparabile in modo indipendente
Questo criterio stabilisce che la falla deve essere risolvibile da sola, separata da altre vulnerabilità. Il documento afferma inoltre che le patch per la falla non dovrebbero essere intrinsecamente legate alla correzione di altri bug.
Deve essere riconosciuto dal fornitore e documentato
La regola si riferisce al riconoscimento da parte dello sviluppatore/venditore del software dell’esistenza del difetto e del suo impatto negativo. Lo sviluppatore/venditore di software dovrebbe inoltre disporre di una documentazione dettagliata o di un rapporto sulle vulnerabilità che illustri tutte le violazioni della sicurezza dimostrate dalla falla.
Deve interessare una sola base di codice
Una falla può essere identificata come CVE se riguarda solo una singola base di codice, un prodotto o un protocollo. Se la falla riguarda più basi di codice, prodotti o protocolli, a ciascuna falla verrà assegnato un identificatore CVE separato.
Nota: Nei casi in cui la stessa vulnerabilità riguardi più fornitori ma derivi dalla stessa base di codice sottostante (ad esempio, una libreria open-source condivisa), può comunque essere assegnato un singolo identificatore CVE. Al contrario, se la falla si manifesta in modo diverso tra i vari prodotti, possono essere emessi più CVE.
Che cos’è un identificatore CVE?
Gli identificatori CVE (o ID CVE) sono un formato strutturato dato alle Vulnerabilità ed Esposizioni comuni in modo che possano essere facilmente referenziate. L’identificatore inizia con il prefisso “CVE-” seguito dall’anno di assegnazione e da un numero sequenziale unico. Questo formato strutturato consente di tracciare e referenziare cronologicamente le vulnerabilità nel tempo. Per esempio:
“CVE-2022-1234”
- 2022: indica una vulnerabilità assegnata nell’anno 2022
- 1234: indica il numero progressivo del CVE assegnato quell’anno.
Oltre ai numeri CVE, le vulnerabilità sono spesso associate al Common Vulnerability Scoring System, o CVSS. Questi punteggi forniscono una misura quantitativa della gravità di una vulnerabilità, considerando fattori quali la sfruttabilità, l’impatto e la complessità. Da 0 a 10, un punteggio CVSS più alto indica una vulnerabilità più grave.
I CVE sono gestiti dal CNA e il repository centrale per i CVE è il database CVE del MITRE. I CNA sono organizzazioni o entità autorizzate ad assegnare gli identificatori CVE alle vulnerabilità che rientrano nel loro ambito. Il MITRE, un’organizzazione senza scopo di lucro, funge da coordinatore principale del programma CVE, mantenendo il database e garantendo l’integrità e l’unicità degli identificatori assegnati. Questo processo fa sì che ogni vulnerabilità abbia un identificativo distinto per un’accurata tracciabilità e comunicazione.
Quando viene scoperta una vulnerabilità, il CNA responsabile del prodotto o del sistema interessato richiede un identificatore CVE al MITRE. Una volta assegnato, il CVE viene pubblicato nel database CVE del MITRE, fornendo un archivio centralizzato e accessibile ai professionisti della cybersecurity.
Vale la pena notare che, sebbene il CVSS fornisca un punteggio quantitativo di gravità, le organizzazioni dovrebbero considerare anche fattori quali la disponibilità di exploit, le segnalazioni di sfruttamento attivo e l’impatto sull’azienda al momento di stabilire la priorità delle patch. Due vulnerabilità con lo stesso punteggio CVSS possono comportare rischi molto diversi nella pratica.
Chi segnala i CVE?
Anche se chiunque può segnalare un CVE inviando una segnalazione alla CNA, la maggior parte delle segnalazioni proviene da persone coinvolte nella cybersecurity. Si tratta di ricercatori di cybersicurezza, hacker etici e venditori stessi. Alcune segnalazioni possono anche provenire da programmi di bug bounty organizzati da aziende che offrono ricompense ai professionisti IT che trovano e segnalano vulnerabilità nei loro sistemi.
Che cos’è il ciclo di vita di un CVE?
Il ciclo di vita di un CVE si riferisce al processo attraverso il quale una vulnerabilità ed esposizione comune passa. Questo comporta le seguenti fasi:
- Scopertadella falla: La fase in cui viene identificata la vulnerabilità.
- Segnalazione dellafalla: Si riferisce al processo di invio di rapporti che descrivono le complicazioni della falla scoperta al fornitore, al CNA o al centro di coordinamento delle vulnerabilità.
- RichiestaID e prenotazione: Stabilisce lo stato iniziale del record CVE, a partire dall’assegnazione e prenotazione dell’ID CVE da parte del partner del programma CVE.
- Presentazione della documentazione: Una fase critica in cui vengono raccolte e documentate informazioni complete sulla vulnerabilità.
- Pubblicazione di CVE: La fase in cui i CVE, insieme al loro ID e ai dettagli, vengono pubblicati pubblicamente sull’elenco CVE, consentendo un facile riferimento alla vulnerabilità.
Quali sono i vantaggi dei CVE?
Stabilisci un registro pubblico standardizzato delle vulnerabilità presenta diversi vantaggi:
Flussi di lavoro di patch semplificati
Un registro strutturato per le vulnerabilità più comuni facilita le operazioni dei professionisti della cybersecurity, che possono disporre di una risorsa facilmente accessibile quando un CVE è stato reso pubblico.
Compatibilità degli strumenti
La maggior parte degli scanner di vulnerabilità è programmata per sfogliare i database CVE, consentendo alle organizzazioni di valutare efficacemente la propria posizione di sicurezza e di dare priorità agli sforzi di rimedio.
Integrazione con le piattaforme di sicurezza
Sebbene i record CVE di per sé non includano di solito gli indicatori di compromissione (IoC), molti avvisi di vulnerabilità e piattaforme di intelligence sulle minacce mappano i CVE con gli IoC. Questa mappatura consente agli strumenti di sicurezza di integrare i dati CVE con i flussi di lavoro di rilevamento e prevenzione.
Conformità
I quadri normativi come PCI-DSS, HIPAA o NIST richiedono in genere il monitoraggio dei CVE. Una piattaforma di sicurezza per gli endpoint dotata di questa funzionalità può aiutare le organizzazioni ad applicare e mantenere la conformità.
Quali sono le sfide dei CVE?
Sebbene sia un sistema prezioso per la cybersecurity, il quadro CVE può anche affrontare alcune sfide che possono influire sulla sua diffusione. Eccone alcuni:
Assegnazione ritardata del CVE
L’assegnazione tardiva dei CVE può rendere difficile una mitigazione precoce. Questo può accadere con le vulnerabilità critiche, come quelle trovate in librerie popolari open-source.
Documentazione poco chiara
Un altro collo di bottiglia per i professionisti della cybersecurity è rappresentato dai casi in cui i record CVE contengono dettagli tecnici vaghi o incompleti. Ciò può ostacolare la rapida prevenzione dello sfruttamento di potenziali vulnerabilità.
Più CVE per lo stesso problema principale
I CVE separati possono causare confusione e costituire un problema cruciale durante la bonifica. Questo accade di solito quando i difetti di componenti o versioni simili sono presenti su piattaforme diverse.
Qual è il significato dei CVE nella cybersecurity?
I CVE svolgono un ruolo fondamentale nell’identificazione e nella risoluzione proattiva delle vulnerabilità del software. Fornendo un riferimento standardizzato, i professionisti della cybersecurity possono comunicare in modo efficiente, condividere le informazioni sulle minacce e collaborare per mitigare le vulnerabilità prima che vengano sfruttate.
I CVE diventano essenziali nella risposta agli incidenti in caso di incidenti di cybersecurity. I team di sicurezza possono fare riferimento ai CVE per comprendere la natura delle vulnerabilità, valutarne la gravità e implementare misure mirate per affrontare le minacce specifiche poste dalle vulnerabilità identificate.
Gli incidenti del mondo reale, come la violazione dei dati di Equifax (CVE-2017-5638) e la vulnerabilità di Apache Struts, evidenziano l’importanza critica dei CVE. In questi casi, lo sfruttamento di vulnerabilità note ha portato a significative violazioni dei dati, sottolineando la necessità per le organizzazioni di rimanere vigili, di applicare tempestivamente le patch ai sistemi e di monitorare i database CVE per le minacce emergenti.
Quali sono i 5 CVE degni di nota che ogni team IT dovrebbe conoscere?
Queste cinque CVE di rilievo hanno avuto un impatto significativo sulle risorse digitali e continuano a destare preoccupazione per i sistemi non patchati e obsoleti. Tieni presente che il panorama delle minacce si evolve rapidamente e che emergono continuamente nuove CVE, come CVE-2024-20666 e CVE-2023-5129. Rimani sempre informato sulle ultime minacce e vulnerabilità. Ad esempio, CVE-2024-20666 è una vulnerabilità di bypass della sicurezza di Windows che riguarda BitLocker e CVE-2023-5129 si riferisce a un problema di buffer overflow nella libreria di immagini WebP che ha avuto un impatto su diverse applicazioni. L’inclusione di CVE recenti sottolinea la rapidità con cui si evolve il panorama delle minacce.
1) CVE-2017-5638 (Apache Struts/S2-045 – violazione Equifax): Questa vulnerabilità critica in Apache Struts permetteva l’esecuzione di codice remoto attraverso un’intestazione Content-Type di tipo artigianale in una richiesta HTTP. Lo sfruttamento di questa vulnerabilità ha portato alla famigerata violazione dei dati di Equifax nel 2017, esponendo le informazioni personali sensibili di milioni di persone.
Rischio: Gli aggressori remoti potrebbero eseguire codice arbitrario sul server interessato, causando potenzialmente accessi non autorizzati e violazioni dei dati.
Riduzione del rischio: Applicazione tempestiva di patch e aggiornamenti per Apache Struts e implementazione di firewall per applicazioni web.
2) CVE-2017-0144 (EternalBlue – WannaCry Ransomedware): EternalBlue era un exploit trapelato dall’NSA che mirava a una vulnerabilità nel protocollo SMB di Microsoft. È stato notoriamente utilizzato nell’attacco ransomware WannaCry nel 2017, che ha colpito centinaia di migliaia di computer in tutto il mondo.
Rischio: Questa vulnerabilità ha permesso la rapida diffusione di ransomware attraverso le reti, criptando i file e richiedendo il pagamento di un riscatto.
Riduzione del rischio: Applica gli aggiornamenti di sicurezza di Microsoft e disabilita il protocollo SMBv1, ormai obsoleto.
3) CVE-2019-0708 (BlueKeep): BlueKeep era una vulnerabilità critica per l’esecuzione di codice in remoto nel Remote Desktop Protocol (RDP) di Microsoft. Potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario su un sistema di destinazione senza l’interazione dell’utente.
Rischio: Come nel caso di EternalBlue, lo sfruttamento potrebbe portare ad attacchi diffusi e alla potenziale compromissione di sistemi privi di patch.
Riduzione del rischio: Applica gli aggiornamenti di sicurezza di Microsoft e disabilita RDP sui sistemi in cui non è necessario.
4) CVE-2020-1472 (Zerologon): Zerologon ha individuato una vulnerabilità nel protocollo Netlogon Remote Protocol (MS-NRPC) utilizzato dai controller di dominio di Windows. Uno sfruttamento riuscito potrebbe consentire a un aggressore di impersonare qualsiasi computer, compreso il controller di dominio.
Rischio: Gli aggressori potrebbero potenzialmente prendere il controllo di un controller di dominio, con conseguente accesso non autorizzato e compromissione della rete.
Riduzione del rischio: Applica gli aggiornamenti di sicurezza di Microsoft e delle configurazioni Netlogon sicure.
5) CVE-2021-34527 (PrintNightmare): PrintNightmare era una vulnerabilità nel servizio Windows Print Spooler che consente l’esecuzione di codice remoto. Ha ricevuto un’ampia attenzione a causa della sua natura critica e del potenziale di sfruttamento.
Rischio: Uno sfruttamento riuscito potrebbe consentire a un aggressore di eseguire codice arbitrario con privilegi a livello di sistema.
Riduzione del rischio: Applica gli aggiornamenti di sicurezza di Microsoft e implementa soluzioni per disabilitare il servizio Print Spooler quando non è necessario.
Anticipa le vulnerabilità che potrebbero corrispondere a CVE noti e agisci immediatamente.
→ Scopri cosa può fare NinjaOne Endpoint Management
Rimani un passo avanti agli hacker comprendendo le minacce quotidiane alla sicurezza. Guarda vulnerabilità ed esposizioni comuni per proteggere i tuoi sistemi oggi stesso.
Utilizza i CVE per una cybersicurezza pro-attiva
Come abbiamo detto, i CVE forniscono una base per la gestione delle vulnerabilità. L’adozione di un linguaggio standardizzato per l’identificazione, la catalogazione e la mitigazione delle vulnerabilità promuove la collaborazione e la comunicazione tra i professionisti della cybersecurity di tutto il mondo.
Rimani informato sulle ultime CVE è fondamentale per una strategia di cybersecurity efficiente e proattiva. Le organizzazioni e gli individui dovrebbero monitorare regolarmente i database CVE, applicare tempestivamente le patch e collaborare con la più ampia comunità della cybersecurity per migliorare la resilienza collettiva contro le minacce emergenti.
Per gli utenti di NinjaOne, l’accesso alle informazioni CVE è semplificato attraverso la piattaforma e le informazioni su exploit zero-day e mitigazioni vengono pubblicate in anticipo rispetto alla disponibilità delle patch dei fornitori. Gli utenti possono visualizzare comodamente i punteggi CVE e CVSS direttamente dalla piattaforma, consentendo una perfetta integrazione della gestione delle vulnerabilità nella strategia complessiva di cybersecurity. Questa integrazione migliora la visibilità, consentendo ai team IT di definire le priorità e affrontare le vulnerabilità in modo efficiente.
NinjaOne fornisce agli utenti gli strumenti per gestire la sicurezza degli endpoint per raggiungere lo zero-trust con controlli di accesso basati sui ruoli, monitoraggio e gestione della crittografia delle unità e dell’antivirus e gestione delle credenziali per lo scripting, il patching e l’accesso remoto.
