O commom Vulnerabilities and Exposures ou abreviando CVE, é uma iniciativa colaborativa de várias organizações de tecnologia e segurança que fazem uma lista de nomes padronizados para as vulnerabilidades e outras exposições de segurança, mas o objetivo da CVE é padronizar as vulnerabilidades e riscos conhecidos, dessa forma facilitando a procura, o acesso e o compartilhamento desses dados entre diversos indivíduos e empresas. A CVE não é apenas uma espécie de dicionário sobre as vulnerabilidades encontradas no mundo virtual, essa ferramenta é mantida através de representantes das organizações de segurança, instituições acadêmicas, governos e diversos especialistas.
Para compreender melhor o CVE é preciso entender que o CVE e os U.S. National Vulnerability Database (NVD) são programas diferentes. A lista CVE foi lançada pelo MITRE em 1999, enquanto o NVD em 2005, pelo National Institute of Standards and Technology (NIST). As entradas CVE são usadas em diversos produtos e serviços de segurança cibernética, incluindo o NVD, mas o NVD é um banco de dados de vulnerabilidades, sincronizado com o CVE. Ou seja, a lista CVE alimenta o NVD, que por sua vez, baseia-se nessas informações para aprimorar cada entrada e dá referências de correção, pontuação, classificação de impacto e mais recursos de pesquisa.
A CVE é uma lista gratuita e pública para uso de qualquer pessoa interessada em pesquisar sobre vulnerabilidades e ferramentas de segurança. É possível pesquisar ou baixar a CVE, copiar, referenciar e analisar, desde que não haja modificações.
Para que você consiga buscar e encontrar um CVE basta visitar a páginar de busca no site oficial e pesquisar por palavras ou ID de CVE, as pesquisas avançadas estão disponíveis no Banco de Dados de Vulnerabilidades, U.S. National Vulnerability Database (NVD). Na hora de pesquisar, se você souber o ID de uma vulnerabilidade procure por ele, caso deseja buscar por uma palavra-chave, utilize de formar especificas, uma dica não procure por sistemas operacionais, pois as CVE foram projetadas para identificar vulnerabilidades e falhas especificas e não problemas comuns, mas não espere encontrar informações de correção, impacto, classificação ou outros detalhes técnicos, a CVE apenas lista e uniformiza as vulnerabilidades, não dando maiores detalhes, que podem ser encontrados em outros bancos de dados para tal função.
Entrada CVE
Em algumas ocasiões, as entradas CVE podem estar denominadas como reservadas, disputas ou rejeitadas, saiba mais sobre esses status para entender ainda mais sobre o que é CVE
- Reservada (reserved) – Quer dizer que a entrada foi reservada para uso da CVE Numbering Authority (CNA) ou do pesquisador, mas ainda faltam detalhes da vulnerabilidade. A ideia é que ela seja atualizada e disponibilizada para os usuários assim que possível.
- Disputa (disputed) – Quando uma parte discorda sobre o problema e vulnerabilidade atribuída, a entrada entra em disputa. Nesse caso, a CVE não determina qual parte está correta, mas toma nota da situação e oferece referências públicas para melhor informar quem busca por tal CVE.
- Rejeitada (reject) – Uma CVE listada como rejeitada é uma entrada que não foi aceita e essa razão será indicada na descrição da mesma. Alguns casos de CVE rejeitadas são por estarem duplicadas, atribuições incorretas ou motivos administrativos
Algumas das vulnerabilidades mais exploradas
- SQL Injection (Several Techniques) – técnica em que usuários maliciosos podem injetar comandos SQL através da entrada de dados em uma página web.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – trata-se da vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devido a um erro ao manipular pacotes de pulsação TLS / DTLS, em que um invasor pode aproveitar essa falha para divulgar o conteúdo da memória de um cliente ou servidor conectado.
- Joomla Object Injection Remote Command Execution (CVE-2015-8562) – vulnerabilidade de execução de comando remoto foi relatada em plataformas Joomla. A vulnerabilidade é devido à falta de validação sobre os objetos de entrada que podem levar à execução remota de código. Um invasor remoto pode explorar esta vulnerabilidade enviando uma solicitação mal-intencionada à vítima, resultando na execução de código arbitrário no contexto do usuário de destino.
- Microsoft IIS WebDAVScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – ao enviar uma solicitação criada em rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um invasor remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
- Apache Struts2 Content-Type Remote CodeExecution (CVE-2017-5638) – trata-se de uma vulnerabilidade de execução remota de código no Apache Struts2 usando o analisador multipartes Jakarta. Um malicioso pode explorar esta vulnerabilidade enviando um tipo de conteúdo inválido como parte de uma solicitação de upload de arquivo. A exploração bem-sucedida pode resultar na execução de código arbitrário no sistema afetado.
- Web Server Exposed Git Repository Information Disclosure – a exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
É importante também se preocupar em como se manter protegido e estar sempre na busca pela segurança.
Muitas ações precisam ser tomadas para criar ambientes seguros para os dados e informações, e que controle e diminua seus riscos e exposições.
Mais do que atuar no controle das falhas, é importante realizar ações preventivas e fazer gestão das vulnerabilidades.