Ocho siglas relacionadas con las vulnerabilidades (I): CVE

ElevenPaths    3 enero, 2014
Uno de los factores críticos
sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades.
Para ello existen organizaciones encargadas de tratar temas relacionados a este
aspecto, como es el caso de MITRE, FIRST e ICASI. Veremos que estándares
utilizan y cómo aprovecharlos para entender mejor los problemas de seguridad.
MITRE es una organización sin
ánimo de lucro que gestiona los CVE. Opera en centros de investigación y desarrollo encargados
del estudio de distintos campos entre los que se encuentra la seguridad de la
información. En la práctica, se encarga de registrar y oficializar todos los
datos relativos a vulnerabilidades, debilidades y ataques conocidos en el mundo
de la seguridad.
Toda esta información es de carácter público y puede ser
consultada libremente.

Qué es el CVE


CVE (Common Vulnerabilities and
Exposures
) es una lista de vulnerabilidades de seguridad de la información
públicamente conocidas. Es quizás el estándar más usado. Permite identificar
cada vulnerabilidad, asignando a cada una un código de identificación único. Se
conoce como identificador CVE (CVE-ID) y está formado por las siglas de este
diccionario seguidas por el año en que es registrada la vulnerabilidad o
exposición y un número arbitrario de cuatro dígitos. Estos tres elementos van
separados por un guion resultando un identificador con el siguiente formato
:

Este formato se ha mantenido durante muchos años, pero hoy las cosas han
cambiado. Aunque aún no ha dado esta circunstancia, catalogar 9.999 vulnerabilidades en un año,
parece que se han quedado corto. Así que desde el primero de enero de 2014 este
identificador puede contener más de cuatro dígitos para su asignación a la
vulnerabilidad.
Lo que esto quiere decir es que si a partir de 2014, el rango
de 0001 – 9999 no fuese suficiente, se podrán añadir oficialmente más dígitos
según sea necesario sin romper el estándar.


Se agregarán los dígitos a la derecha del número de vulnerabilidad. Los
CVE-ID con cinco o más dígitos solo serán utilizados para representar
vulnerabilidades que superen la barrera del 9999.

Ventajas del CVE

La utilidad de este catálogo es
múltiple:
  • Permite tener una base para la evaluación de las vulnerabilidades.
  • Es un estándar muy adoptado para referirse a ellas. En la mayoría de las
    ocasiones, la asignación de un CVE permite diferenciar vulnerabilidades que, de
    otra forma, resultarían muy complejas de describir y diferenciar desde un punto
    de vista técnico.
  • Realiza un proceso de actualización continua de las vulnerabilidades registradas
    en la lista.
  • La posibilidad de monitorizar cambios o actualizaciones sobre la lista y
    los contenidos de las vulnerabilidades.
  • Una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser
    registradas en el diccionario.

Cómo registrar una nueva vulnerabilidad en CVE


Para registrar una vulnerabilidad en esta lista se debe presentar su
candidatura y superar tres etapas. La primera es la de tratamiento, en la que el
CVE Content Team se encarga de analizar, investigar y procesar las solicitudes
de registro
de nuevas vulnerabilidades para la lista CVE. La segunda etapa es
la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras
distintas:
  • Una asignación directa por parte del CVE Content Team después de que
    éste realice el estudio de la nueva propuesta de vulnerabilidad.
  • Una asignación directa por parte del CVE Editor al ser difundida
    ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre
    un fallo 0day sin claro autor definido.
    Si no lo asume el fabricante, es esta
    organización la que directamente debe asignar un CVE para identificarlo.
  • Una reserva de un identificador CVE-ID, por parte de una organización o
    individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes
    reservan en el año un “lote” de CVE que van asignando a sus boletines
    de seguridad.

La tercera y última etapa es la de publicación. Puede prolongarse
un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada
a la lista y publicarla en el sitio web del diccionario, sino que incluye
también los procesos de modificación. Durante este proceso podría sufrir cambios
con respecto al contenido de la descripción o incluso añadir nuevas referencias
que la sustenten.


Se pueden dar casos “especiales”, en los que un CVE-ID puede
necesitar dividirse en distintos identificadores por la complejidad de la
vulnerabilidad.
Aunque también podría darse el caso inverso, es decir, que
varios identificadores se agrupen para formar un único CVE-ID.

Es posible incluso, que algún CVE-ID sea eliminado de las listas junto con su
respectivo contenido. Por ejemplo, esto puede deberse a distintos factores:
  • Que una vulnerabilidad ya haya
    sido registrada bajo otro CVE-ID.
  • Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe.
  • Que el informe relativo a la
    vulnerabilidad deba ser reformulado en su totalidad.

Qué información ofrece la web oficial de CVE


A continuación se resaltan en la
siguiente imagen los enlaces más importantes que se pueden encontrar en su
página web.
  • En el enlace Documents se pueden
    encontrar todos los documentos públicos relacionados con CVE.
  • En los enlaces a Search
    CVE 
    y Search NVD se pueden realizar las búsquedas de
    vulnerabilidades. El primero de los enlaces facilita
    la búsqueda a través de la lista CVE, y el otro enlace permite la búsqueda de
    vulnerabilidades a través de la base de datos de vulnerabilidades del NIST.
  • En el enlace Search the Site pueden
    realizarse búsquedas específicas de las vulnerabilidades a través de palabras
    clave que puede estar contenidas en el nombre o la descripción de la
    vulnerabilidad sin necesidad de conocer el CVE-ID.
  • Con el enlace NVD
    (National Vulnerability Database)
     se puede ir directamente a la página
    web de la base de datos de vulnerabilidades del NIST, (de la que hablaremos en una
    próxima entrada). En ella se puede consultar también las vulnerabilidades
    registradas en CVE incluyendo su valoración CVSS.
  • Por último, con los enlaces Vulnerability
    Scoring System (CVSS) 
    y Software Weakness  (CWE) pueden consultarse las otras dos
    listas de las que también hablaremos.

De cada vulnerabilidad suele
recolectarse por lo general solo una escueta descripción y las referencias que
comprueben y apoyen la existencia de la vulnerabilidad.
Las referencias pueden ser publicaciones o entradas de foros o blogs en donde se han hecho públicas
las vulnerabilidades y demostraciones de su explotación. Además suele también
mostrarse un enlace directo a la información de la base de datos de
vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de
la vulnerabilidad y su valoración. 



Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC
Ocho siglas relacionadas con las vulnerabilidades (III): CVSS
* Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS


Umberto Francesco Schiavo

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *