Segurança: O que é CVE e CVSS?

Posted on By Categoria: Outros 1 comentário em Segurança: O que é CVE e CVSS?

CVE vem do inglês Common Vulnerabilities and Exposures e pode ser traduzido como Vulnerabilidades e exposições comuns.

Sempre vemos vulnerabilidades em programas sendo identificadas com cve+número, exemplo:

  • CVE-2017-7494 é referente à uma vulnerabilidade encontrada no samba(programa para Linux).
  • CVE-2022-30190 é um cve referente a vulnerabilidade no Windows 10 de grau 9.3(perigosa!)

CVE é um banco de dados para problemas de segurança da informação divulgadas publicamente.

Um número CVE identifica exclusivamente uma vulnerabilidade. Assim usuários e empresas podem trocar informações sobre questões de segurança cibernética.

CVSS(Common Vulnerability Scoring System) ou simplesmente CVSS Scores fornece uma representação numérica (0-10) da gravidade de uma vulnerabilidade de segurança da informação.

As pontuações CVSS são comumente usadas por equipes de segurança da informação como parte de um programa de gerenciamento de vulnerabilidades para fornecer um ponto de comparação entre vulnerabilidades e priorizar a correção de vulnerabilidades.

Como CVEs são Criados?

Um identificador CVE tem a seguinte forma: CVE-[Ano]-[Número].

Ano é o ano em que a vulnerabilidade foi publicada e o número é uma sequência dada por uma CNA(Instituição responsável por isso).

Exemplo:

CVE-2019-0708 corresponde a uma falha no Remote Desktop Protocol (RDP) da Microsoft.

A CVE CVE-2019-0709  ficou conhecida como BlueKeep.

Como no caso da vulnerabilidade BlueKeep. outras CVES podem receber um apelido para serem melhor memorizadas; isso ocorre mais quando a vulnerabilidade é grande, perigosa e conhecida amplamente por empresas e imprensa.

Os IDs(números) dos CVEs são atribuídos a falhas que atendam a um conjunto específico de critérios. eles devem ser reconhecidos pelo fornecedor como tendo um impacto negativo na segurança e devem estar afetando apenas uma produto(base de código). As falhas que afetam mais de um produto recebem CVEs separados.

Quais Instituições São Responsáveis pelo Registro CVE?

O programa CVE é supervisionado pela corporação MITRE com financiamento da Agência de Segurança Cibernética e Infraestrutura (CISA), parte do Departamento de Segurança Interna dos EUA.

As instituições responsáveis por criar ou gerar um CVE são conhecidas como CNAs(CVE Numbering Authorities). CNA em português quer dizer algo parecido com “Autoridade para Números CVEs”

As entradas CVE são breves. Eles não incluem dados técnicos ou informações sobre riscos, impactos e correções. Esses detalhes aparecem em outros bancos de dados, incluindo o U.S. National Vulnerability Database (NVD), o CERT/CC Vulnerability Notes Database e várias listas mantidas por fornecedores e outras organizações.

Como exemplos de CNAs temos:

  • Fornecedores de serviços de TI
  • organizações de pesquisa como universidades
  • empresas de segurança
  • MITRE

Os identificadores(números únicos) de um CVE são criados por uma das cerca de 100 Autoridades(instituições) responsáveis por atribuir essa Numeração de CVE.

Se quiser acessar a lista de CNAs basta clicar aqui: https://www.cve.org/PartnerInformation/ListofPartners

Como Acessar a Lista de Vulnerabilidades da CVE?

Para acessar basta clicar nesse link: https://cve.mitre.org/cve/

Dicas e Termos, Informática, Segurança Tags:, ,

Comment (1) on “Segurança: O que é CVE e CVSS?”

  1. Pingback: Samba: Por que SEMPRE Instalar a Versão Mais Recente e Estável? – GNU/LINUX BRASIL

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied