Entenda o que é CVE (Common Vulnerabilities and Exposures)

Todos os profissionais que lidam com cibersegurança e tecnologia já devem ter se deparado com diversas vulnerabilidades e falhas, certo? Muitos desses erros vêm com a CVE em seu nome, mas afinal, o que é CVE?

Diversas são as fontes que explicam sobre as falhas de programas e configurações e é importante entender um pouco mais acerca das classificações e regras de determinadas falhas.

O Commom Vulnerabilites and Exposures, a CVE, ajuda a listar vulnerabilidades, auxiliando quem trabalha com segurança. Você sabe o que é CVE e como é importante se manter protegido? Confira mais sobre o tema em nosso artigo! 

O que é CVE?

A CVE, ou Commom Vulnerabilities and Exposures, é uma iniciativa colaborativa de diversas organizações de tecnologia e segurança que criam listas de nomes padronizados para vulnerabilidades e outras exposições de segurança.

O objetivo da CVE é padronizar as vulnerabilidades e riscos conhecidos, facilitando a procura, o acesso e o compartilhamento de dados entre diversos indivíduos e empresas.

Mais do que uma lista, a CVE é uma espécie de dicionário sobre as vulnerabilidades encontradas no mundo virtual. Essa ferramenta é mantida através de representantes de organizações de segurança, instituições acadêmicas, governos e diversos especialistas.

Para entender o que é CVE é preciso ter em mente que a CVE e os U.S. National Vulnerability Database (NVD) são programas diferentes. A lista CVE foi lançada pelo MITRE em 1999, enquanto o NVD em 2005, pelo National Institute of Standards and Technology (NIST).

As entradas CVE são usadas em vários produtos e serviços de segurança cibernética, incluindo o NVD. O NVD é um banco de dados de vulnerabilidades, sincronizado com o CVE. Ou seja, a lista CVE alimenta o NVD, que por sua vez, baseia-se nessas informações para aprimorar cada entrada e dá referências de correção, pontuação, classificação de impacto e mais recursos de pesquisa.

A CVE é uma lista gratuita e pública para uso de qualquer pessoa interessada em pesquisar sobre vulnerabilidades e ferramentas de segurança. É possível pesquisar ou baixar a CVE, copiar, referenciar e analisar, desde que não haja modificações.

O que são vulnerabilidades?

Não podemos explicar sobre o que é CVE e não citar as vulnerabilidades, afinal, elas são o foco dessa lista colaborativa.

De acordo com a ISO 27000, a portaria de Sistemas de Gestão de Segurança da Informação, as vulnerabilidades são “fraquezas de um ativo que poderia ser potencialmente explorado por uma ou mais ameaças”.

Essas falhas podem acontecer em diversas fases de configuração ou operação de um ativo e podem ser geradas nas empresas através de falhas humanas, tecnologias desatualizadas ou de forma mal-intencionada.

CVE Numbering Authorities (CNA)

Para falarmos mais sobre o que é CVE, precisamos falar sobre a CNA. 

As numerações CVE são atribuídas por organizações, pesquisadores e fornecedores de tecnologia da informação de todo o mundo que estão autorizadas para tal papel, que são as chamadas CNAs, CVE Numbering Authorities. Como já citamos, a participação na criação de uma CVE é feita de forma voluntária.

As CNAs fazem parte do que o MITRE e o conselho da CVE chamam de “sistema federados”. Atualmente existem 98 organizações participantes, dentre elas Adobe, Apple, Google, Huawei, IBM, Mozilla, Siemens, entre outras.

Para fazer parte da CNA a organização deve ser um ponto de distribuição ou fonte para anúncios de vulnerabilidade, que pode incluir seus próprios produtos.

O MITER é a CNA primária, enquanto existem as CNA raiz, que são aquelas que cobrem determinadas áreas ou nichos. Grandes empresas se encaixam nessa divisão, como a Microsoft, por exemplo, que publica vulnerabilidades apenas de seus próprios produtos.

Entrada CVE

Para entender mais sobre o que é CVE, é importante compreender como ela é apresentada, ou seja, como é a entrada CVE. 

Cada CVE tem seu formato que inclui três chaves básicas de informação, a sigla CVE, o ano, que representa quando que o ID da CVE foi atribuído ou o ano em que a vulnerabilidade se tornou pública e o número da sua sequência de ID, resultando em entradas como “CVE-1999-0067”, “CVE-2014-12345”, “CVE-2016-7654321”, entre muitas outras.

O ID da CVE, a sua parte numérica, são usados para manter o padrão das vulnerabilidades e fazer ligações com outros repositórios que também utilizam IDs de CVE.

A CVE deve incluir também uma breve descrição da vulnerabilidade ou da exposição para segurança e referências que podem ser importantes para aquela falha.

As descrições das entradas são, normalmente, escritas por autoridades de numeração, Numbering Authorities (CNAs), pela equipe CVE ou por indivíduos que solicitem um ID.

Elas são utilizadas para fornecer os detalhes relevantes que ajudem os usuários a encontrar a vulnerabilidade ou distinguir aquelas semelhantes. 

As descrições, geralmente e na sua forma ideal, incluem detalhes como o nome do produto e do fornecedor afetado, versões afetadas, tipo de vulnerabilidade, impacto, entre outros.

Status das entradas CVE

Em algumas ocasiões, as entradas CVE podem estar denominadas como reservadas, disputas ou rejeitadas, saiba mais sobre esses status para entender ainda mais sobre o que é CVE.

  • Reservada (reserved) – Quer dizer que a entrada foi reservada para uso da CVE Numbering Authority (CNA) ou do pesquisador, mas ainda faltam detalhes da vulnerabilidade. A ideia é que ela seja atualizada e disponibilizada para os usuários assim que possível.
  • Disputa (disputed) – Quando uma parte discorda sobre o problema e vulnerabilidade atribuída, a entrada entra em disputa. Nesse caso, a CVE não determina qual parte está correta, mas toma nota da situação e oferece referências públicas para melhor informar quem busca por tal CVE.

Quando uma CVE é marcada como disputed, recomenda-se mais pesquisas por outras referências ou contato com o fornecedor ou desenvolvedor afetado.

  • Rejeitada (reject) – Uma CVE listada como rejeitada é uma entrada que não foi aceita e essa razão será indicada na descrição da mesma. Alguns casos de CVE rejeitadas são por estarem duplicadas, atribuições incorretas ou motivos administrativos. 

As CVE rejeitadas devem ser ignoradas e não utilizadas como fonte de pesquisa ou referência. 

Quais são os benefícios da CVE para segurança?

Conhecer o que é CVE, entender e controlar as vulnerabilidades é uma forma de cuidar da segurança da empresa, mas é preciso ter em mente que a CVE é apenas um guia para ajudar na identificação das falhas.

A CVE não pode ajudá-lo a determinar com precisão qual vulnerabilidade foi explorada para que seu sistema tenha sido invadido por ataques maliciosos. Sua função é dar informações sobre as falhas, após encontradas, facilitando a correção e a busca por detalhes técnicos.

Sendo assim, a CVE ajuda nas melhores escolhas de recursos de segurança para sua estrutura de TI.

Ao entender melhor o que é CVE e estar atento à essas vulnerabilidades e compatibilidades, é possível aprimorar a organização com avisos de segurança. Além disso, a CVE dá melhor fonte de pesquisa sobre falhas e exposições.

Utilizando o ID CVE para uma vulnerabilidade ou exposição específica, as organizações podem obter informações com rapidez e precisão a partir de uma variedade de fontes de informações compatíveis com CVE.

As entradas CVE e os CVE IDs são utilizados em diversos produtos e serviços de segurança, como avisos de segurança, banco de dados de vulnerabilidade, avaliação, gerenciamento de intrusão, firewalls, gerenciamento de patches, monitoramento e resposta à intrusão, entre outros.

Como encontrar uma CVE?

Agora que você já sabe o que é CVE, já sabe como buscá-la? Para encontrar CVE basta visitar a página de busca no site oficial e pesquisar por palavras ou ID de CVE. Vale lembrar que a pesquisa avançada está disponível no Banco de Dados de Vulnerabilidades, U.S. National Vulnerability Database (NVD).

Para facilitar a busca pelas CVE, listamos algumas dicas que podem ser úteis em sua pesquisa:

  • Pesquise por CVE ID – Se você souber o ID de uma vulnerabilidade, procure por ele para encontrar sua descrição;
  • Busca por palavra-chave – Utilize palavras-chave para pesquisa, elas devem ser específicas, como Sendmail, ToolTalk, entre outras. Você pode pesquisar por várias palavras-chave de uma vez se elas estiverem separadas por um espaço;
  • Não procure por sistema operacional – As CVE foram projetadas para identificar vulnerabilidades e falhas específicas e não para agrupar problemas comuns de sistemas operacionais. Por isso, ao fazer busca por esses termos, os resultados tendem a estar incompletos;
  • Não espere encontrar informações de correção, impacto, classificação ou outros detalhes técnicos – Como já ressaltamos, a CVE apenas lista e uniformiza as vulnerabilidades, não dando maiores detalhes, que podem ser encontrados em outros bancos de dados para tal função.

Quais são as vulnerabilidades mais exploradas?

Agora que você sabe mais sobre o que é CVE e está por dentro de alguns dos seus detalhes, é hora de conhecer algumas das vulnerabilidades mais exploradas.

Todos os meses, a Check Point Research, divisão de Inteligência de ameaças da Check Point® Software Technologies Ltd., fornecedor global de soluções de cibersegurança, publica índices globais de ameaças. 

A cada relatório surgem algumas vulnerabilidades, que são importantes de serem conhecidas por aqueles que trabalham com TI. Selecionamos algumas vulnerabilidades encontradas com frequência, confira! 

  • SQL Injection (Several Techniques) – técnica em que usuários maliciosos podem injetar comandos SQL através da entrada de dados em uma página web. 
  • OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – trata-se da vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devido a um erro ao manipular pacotes de pulsação TLS / DTLS, em que um invasor pode aproveitar essa falha para divulgar o conteúdo da memória de um cliente ou servidor conectado.
  • Joomla Object Injection Remote Command Execution (CVE-2015-8562) – vulnerabilidade de execução de comando remoto foi relatada em plataformas Joomla. A vulnerabilidade é devido à falta de validação sobre os objetos de entrada que podem levar à execução remota de código. Um invasor remoto pode explorar esta vulnerabilidade enviando uma solicitação mal-intencionada à vítima, resultando na execução de código arbitrário no contexto do usuário de destino.
  • Microsoft IIS WebDAVScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – ao enviar uma solicitação criada em rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um invasor remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
  • Apache Struts2 Content-Type Remote CodeExecution (CVE-2017-5638) – trata-se de uma vulnerabilidade de execução remota de código no Apache Struts2 usando o analisador multipartes Jakarta. Um malicioso pode explorar esta vulnerabilidade enviando um tipo de conteúdo inválido como parte de uma solicitação de upload de arquivo. A exploração bem-sucedida pode resultar na execução de código arbitrário no sistema afetado.
  • Web Server Exposed Git Repository Information Disclosure –  a exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.

Como se proteger das vulnerabilidades? 

Saber o que é CVE, conhecer algumas de suas especificidades e entender onde buscar informações sobre vulnerabilidades e falhas é essencial, mas é importante também se preocupar em como se manter protegido e estar sempre na busca pela segurança.

Muitas ações precisam ser tomadas para criar ambientes seguros para os dados e informações e que controle e diminua seus riscos e exposições.

Mais do que atuar no controle das falhas, é importante realizar ações preventivas e fazer gestão das vulnerabilidades.

Gestão e scan de vulnerabilidades 

Sabemos que é difícil manter um ambiente 100% imune a ameaças, por isso, é preciso que os riscos sejam controlados para proteger e dar segurança ao negócio. 

A gestão de vulnerabilidades é o processo de identificar, classificar, analisar e tratar as falhas. 

Esse tratamento se dá na correção das fraquezas, aplicação de controles e minimização de impactos no ambiente. A gestão de vulnerabilidades é um processo contínuo e que precisa ser acompanhado constantemente.

Com essa gestão frequente é possível determinar mudanças, conhecer quais CVE atingem sua organização, comparar a cada mês as evoluções, problemas e buscar soluções.

A gestão de vulnerabilidades detecta e corrige falhas que podem acarretar em riscos de segurança, funcionalidade e desempenhos, altera configurações de programas para deixá-los mais eficientes, implementa mecanismos de segurança e realiza suas atualizações e foca na melhoria contínua dos sistemas de segurança.

Para uma gestão de vulnerabilidades eficiente é importante mapear e conhecer as informações da empresa, definir responsáveis por essa tarefa, mapear riscos sejam eles virtuais ou não , analisar e priorizar o que deve ser atacado primeiro para correção.

O processo de gestão de vulnerabilidades é contínuo e deve ser parte da segurança de qualquer tipo de organização.

Além disso, dentro da gestão de vulnerabilidades algumas ações são importantes, como o scan ou análise de vulnerabilidades. Esse escaneamento identifica as fraquezas e ajuda sua ainda mais na sua gestão.

O scan de vulnerabilidades realiza uma varredura em IP’s externos ou ativos na rede interna, categorizando as vulnerabilidades por riscos, identificando e classificando as possíveis brechas de segurança presentes na rede.

Esse serviço é feito através de softwares específicos para tal função, como o EcoTrust, da Eco IT.

Assim como a gestão, o scan é uma ferramenta de uso contínuo, pois detecta qualquer alteração que acontece durante o período configurado. 

O escaneamento de vulnerabilidade se dá no ambiente externo e interno. As verificações externas de vulnerabilidades identificam as maiores ameaças imediatas à sua organização, atualizações de software e firmware necessárias para manutenção, portas e protocolos – pontos de entrada em sua rede e buracos em seu firewall de rede.

Já a varredura da vulnerabilidade interna, como o próprio nome diz, tem como alvo a rede interna. Elas podem ser aprimoradas com credenciais para efetuar login no dispositivo e executar verificações de conformidade e vulnerabilidades. 

O número de crimes cibernéticos e vulnerabilidades é algo crescente a cada ano, por isso, é importante ter cuidados com as seguranças e estar atento às exposições e vulnerabilidades que podem estar presentes em sua organização.

Além de falar em segurança, vale ressaltar que a gestão e o scan de vulnerabilidades também ajudam as empresas a entrar em conformidade com a LGPD, que preza pela segurança e integridade das informações dos usuários.

Esse tipo de análise é um ponto importante para cuidar da segurança do ambiente e entender se alguma vulnerabilidades encontrada em seu negócio já é mapeada pela CVE.

Indo além de gestão e scan de vulnerabilidades, alguns hábitos importantes devem ser implementados e incorporados à cultura empresarial para que a proteção esteja sempre em primeiro lugar.

Entender o que é CVE vai além de conhecer seus números e denominações. Saber sobre o que é CVE diz respeito também a cuidar da proteção de vulnerabilidades, garantindo maior segurança sempre que possível em seu ambiente.

Agora que você já sabe mais sobre o que é CVE, como pesquisar pelas vulnerabilidades listadas e como evitá-las, aproveite e leia mais sobre cibersegurança!


Compartilhe com um amigo!