O que é CVE?

O CVE, sigla inglesa para vulnerabilidades e exposições comuns, é uma lista pública de falhas de segurança. Quando alguém menciona CVE, refere-se a uma falha de segurança atribuída a um número de ID correspondente.

Os fornecedores e pesquisadores quase sempre mencionam pelo menos um ID CVE nos relatórios de segurança. Os CVEs ajudam os profissionais de TI a trabalhar em conjunto para priorizar e solucionar essas vulnerabilidades, a fim de tornar os sistemas de computadores mais seguros.

Não está a fim de ler? Aqui está um vídeo pequeno sobre CVE.

O programa CVE é administrado pela MITRE Corporation e financiado pela Agência de Segurança Cibernética e de Infraestrutura (CISA), que integra o Departamento de Segurança Interna dos EUA.

As entradas do CVE são curtas. Não incluem dados técnicos, nem informações sobre riscos, impactos ou correções. Essas informações aparecem em outros bancos de dados, como o National Vulnerability Database (NVD) dos Estados Unidos, o Vulnerability Notes Database do CERT/CC e várias listas criadas por fornecedores e outras organizações.

O ID CVE oferece uma maneira de reconhecer vulnerabilidades em diferentes sistemas e coordenar o desenvolvimento de ferramentas e soluções de segurança. A MITRE Corporation mantém a Lista de CVEs, mas uma falha de segurança que se torna oficialmente um CVE, normalmente, é enviada por organizações e membros da comunidade open source.

Sobre os identificadores CVE

Os identificadores CVE são atribuídos por uma Autoridade de numeração CVE (CNA). Há aproximadamente 100 CNAs, que representam os principais fornecedores de TI (como a Red Hat, IBM, Cisco, Oracle e Microsoft), empresas de segurança e organizações de pesquisa. A MITRE também emite CVEs diretamente.

As CNAs recebem blocos de CVEs, que são reservados para atribuição aos novos problemas que forem descobertos. Milhares de IDs CVE são emitidos todos os anos. Uma única solução complexa, como sistemas operacionais, por exemplo, pode acumular centenas de CVEs.

Relatórios de CVEs podem surgir de várias fontes. Um fornecedor, um pesquisador ou um usuário atento podem descobrir uma falha e informar a respeito. Muitos fornecedores oferecem recompensas por bugs para encorajar a divulgação responsável de problemas de segurança. Se você encontrar alguma vulnerabilidade em um software open source, informe à comunidade.

De uma forma ou de outra, informações sobre a falha acabam chegando às CNAs. A CNA atribui um ID CVE à informação e cria uma breve descrição com referências. Assim, o novo CVE é publicado no site do CVE.

Muitas vezes, o ID CVE é atribuído antes da disponibilização pública do relatório de segurança. É comum fornecedores manterem falhas de segurança em segredo até desenvolverem e testarem uma correção. Isso reduz as chances de invasores explorarem as falhas não corrigidas.

Depois de publicada, a entrada inclui o ID CVE (no formato "CVE-2019-1234567"), uma descrição breve da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.

Os IDs CVE são atribuídos a falhas que atendem a certos critérios. Elas devem ser:

1. Corrigíveis de forma independente.

A falha pode ser corrigida independentemente de outros bugs.

Existem várias formas de avaliar a gravidade de uma vulnerabilidade. Uma delas é o Sistema de pontuação de vulnerabilidades comuns (CVSS), um conjunto de padrões abertos usado para atribuir um número a uma vulnerabilidade de acordo com sua gravidade. O NVD, CERT e outros bancos de dados usam essas pontuações para avaliar o impacto das vulnerabilidades. A pontuação vai de 0 a 10; quanto maior o número, mais grave. Muitos fornecedores de segurança criaram seus próprios sistemas de pontuação.

Três principais conclusões 

Conheça as suas implantações O fato de haver um CVE não quer dizer que o risco se aplique ao seu ambiente ou implantação específicos. Leia cada CVE com atenção e entenda se eles se aplicam ao seu ambiente ao verificar se são aplicáveis (total ou parcialmente) a sistema operacional, aplicação, módulos e configurações do seu ambiente único.

Faça o gerenciamento de vulnerabilidades.O gerenciamento de vulnerabilidades é um processo iterativo para identificar, classificar, priorizar, remediar e mitigar vulnerabilidades. Isso significa entender como um risco se aplica à sua organização para priorizar corretamente as vulnerabilidades pendentes que precisam ser resolvidas.

Prepare-se para se comunicar CVEs impactam os sistemas da sua empresa, tanto pelas próprias vulnerabilidades quanto pelo downtime necessário para resolvê-las. Comunique-se e coordene-se com seus clientes internos e compartilhe as vulnerabilidades com a gestão da central de riscos da sua organização.

Como a Red Hat trabalha com CVEs

Como uma das principais colaboradoras do software open source, a Red Hat está sempre envolvida na comunidade de segurança. Nós somos uma Autoridade de numeração CVE (CNA) e usamos IDs CVE para rastrear vulnerabilidades de segurança. A Red Hat Security mantém um banco de dados de atualizações de segurança aberto e atualizado que você pode consultar pelo número do CVE.

O Red Hat Product Security oferece acesso a dados brutos de segurança na página Dados de segurança e em formatos compatíveis com máquinas por meio da API.

Além das métricas e relatórios de segurança que a Red Hat oferece, os clientes podem usar esses dados para gerar as próprias métricas de acordo com seus casos.

A API de dados de segurança inclui definições de Linguagem de avaliação e vulnerabilidade aberta (OVAL), documentos de Framework de relatórios de vulnerabilidades comuns (CVRF) e dados de CVE. Os dados estão disponíveis no formato XML e JSON.