Ocho siglas relacionadas con las vulnerabilidades (I): CVE

viernes, 3 de enero de 2014

Uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades. Para ello existen organizaciones encargadas de tratar temas relacionados a este aspecto, como es el caso de MITRE, FIRST e ICASI. Veremos que estándares utilizan y cómo aprovecharlos para entender mejor los problemas de seguridad.

MITRE es una organización sin ánimo de lucro que gestiona los CVE. Opera en centros de investigación y desarrollo encargados del estudio de distintos campos entre los que se encuentra la seguridad de la información. En la práctica, se encarga de registrar y oficializar todos los datos relativos a vulnerabilidades, debilidades y ataques conocidos en el mundo de la seguridad. Toda esta información es de carácter público y puede ser consultada libremente.

Qué es el CVE


CVE (Common Vulnerabilities and Exposures) es una lista de vulnerabilidades de seguridad de la información públicamente conocidas. Es quizás el estándar más usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de identificación único. Se conoce como identificador CVE (CVE-ID) y está formado por las siglas de este diccionario seguidas por el año en que es registrada la vulnerabilidad o exposición y un número arbitrario de cuatro dígitos. Estos tres elementos van separados por un guion resultando un identificador con el siguiente formato:

Este formato se ha mantenido durante muchos años, pero hoy las cosas han cambiado. Aunque aún no ha dado esta circunstancia, catalogar 9.999 vulnerabilidades en un año, parece que se han quedado corto. Así que desde el primero de enero de 2014 este identificador puede contener más de cuatro dígitos para su asignación a la vulnerabilidad. Lo que esto quiere decir es que si a partir de 2014, el rango de 0001 – 9999 no fuese suficiente, se podrán añadir oficialmente más dígitos según sea necesario sin romper el estándar.

Se agregarán los dígitos a la derecha del número de vulnerabilidad. Los CVE-ID con cinco o más dígitos solo serán utilizados para representar vulnerabilidades que superen la barrera del 9999.

Ventajas del CVE

La utilidad de este catálogo es múltiple:
  • Permite tener una base para la evaluación de las vulnerabilidades.
  • Es un estándar muy adoptado para referirse a ellas. En la mayoría de las ocasiones, la asignación de un CVE permite diferenciar vulnerabilidades que, de otra forma, resultarían muy complejas de describir y diferenciar desde un punto de vista técnico.
  • Realiza un proceso de actualización continua de las vulnerabilidades registradas en la lista.
  • La posibilidad de monitorizar cambios o actualizaciones sobre la lista y los contenidos de las vulnerabilidades.
  • Una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser registradas en el diccionario.
Cómo registrar una nueva vulnerabilidad en CVE

Para registrar una vulnerabilidad en esta lista se debe presentar su candidatura y superar tres etapas. La primera es la de tratamiento, en la que el CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE. La segunda etapa es la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
  • Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
  • Una asignación directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo 0day sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
  • Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVE que van asignando a sus boletines de seguridad.
La tercera y última etapa es la de publicación. Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de modificación. Durante este proceso podría sufrir cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten.

Se pueden dar casos "especiales", en los que un CVE-ID puede necesitar dividirse en distintos identificadores por la complejidad de la vulnerabilidad. Aunque también podría darse el caso inverso, es decir, que varios identificadores se agrupen para formar un único CVE-ID.

Es posible incluso, que algún CVE-ID sea eliminado de las listas junto con su respectivo contenido. Por ejemplo, esto puede deberse a distintos factores:
  • Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID.
  • Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe.
  • Que el informe relativo a la vulnerabilidad deba ser reformulado en su totalidad.
Qué información ofrece la web oficial de CVE

A continuación se resaltan en la siguiente imagen los enlaces más importantes que se pueden encontrar en su página web.
  • En el enlace Documents se pueden encontrar todos los documentos públicos relacionados con CVE.
  • En los enlaces a Search CVE y Search NVD se pueden realizar las búsquedas de vulnerabilidades. El primero de los enlaces facilita la búsqueda a través de la lista CVE, y el otro enlace permite la búsqueda de vulnerabilidades a través de la base de datos de vulnerabilidades del NIST.
  • En el enlace Search the Site pueden realizarse búsquedas específicas de las vulnerabilidades a través de palabras clave que puede estar contenidas en el nombre o la descripción de la vulnerabilidad sin necesidad de conocer el CVE-ID.
  • Con el enlace NVD (National Vulnerability Database) se puede ir directamente a la página web de la base de datos de vulnerabilidades del NIST, (de la que hablaremos en una próxima entrada). En ella se puede consultar también las vulnerabilidades registradas en CVE incluyendo su valoración CVSS.
  • Por último, con los enlaces Vulnerability Scoring System (CVSS) y Software Weakness  (CWE) pueden consultarse las otras dos listas de las que también hablaremos.
De cada vulnerabilidad suele recolectarse por lo general solo una escueta descripción y las referencias que comprueben y apoyen la existencia de la vulnerabilidad. Las referencias pueden ser publicaciones o entradas de foros o blogs en donde se han hecho públicas las vulnerabilidades y demostraciones de su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración. 

Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC
Ocho siglas relacionadas con las vulnerabilidades (III): CVSS
* Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS

Umberto Francesco Schiavo

1 comentario:

  1. Interesante articulo, aporta buenos datos. Aprendi algo más! =)

    ResponderEliminar