Blog

CVE – Una Lista de Vulnerabilidades Conocidas

En una entrada anterior hablamos de como valorar las vulnerabilidades encontradas en una auditoria, sin embargo no mencionamos que en la actualidad existe una iniciativa del MITRE que se encarga de recopilar, estudiar y suministrar toda la información relacionada a las vulnerabilidades encontradas día a día.

cveEsta iniciativa se llama CVE (Common Vulnerabilities and Exposures) y no es más que una lista de vulnerabilidades de seguridad de la información públicamente conocidas. Para llevar un control de esta lista a cada vulnerabilidad que se registra se le asigna un código de identificación único conocido como identificador CVE (CVE-ID). Este identificador está formado por las siglas de este diccionario seguidas por el año en que es registrada la vulnerabilidad y un número arbitrario de cuatro dígitos. Estos tres elementos van separados por un guion resultando un identificador con el siguiente formato:

CVE Format

Hasta el año pasado, se había estado registrando estas vulnerabilidades con un numero de cuatro dígitos, sin embargo, a partir de enero de este año entra en vigencia un nuevo cambio propuesto para esta iniciativa, en el que se añadirán tantos dígitos sean necesario a lo largo del año según vulnerabilidades vayan apareciendo. Esto quiere decir que a partir de esta fecha si el rango de 0001 – 9999 no fuese suficiente, en cuanto al número de vulnerabilidad registrada se refiere, podrá añadirse más dígitos según sea necesario, viéndose afectado de la siguiente manera.

CVE Format 2

Como puede observarse en la imagen anterior, se agregarán los dígitos a la derecha del número de vulnerabilidad, por tanto, los CVE-ID con cinco o más dígitos solo serán utilizados para representar vulnerabilidades que superen la barrera del 9999.

En la web de CVE existe una gran cantidad de documentación acerca de esta iniciativa, sin embargo algunas de las ventajas descritas por ellos se encuentran:

  1. Ofrecen una base para la evaluación de las vulnerabilidades.
  2. Proponen un estándar para referirse a éstas.
  3. Brindan un proceso de actualización continua de las vulnerabilidades registradas en la lista.
  4. Ofrecen la posibilidad de monitorizar cambios o actualizaciones sobre la lista y los contenidos de las vulnerabilidades.
  5. Permite una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser registradas en el diccionario.

Otra información resaltante presente en esta web es la concerniente al registrar una vulnerabilidad en la lista, para la cual se debe presentar su candidatura y superar tres etapas. La primera de ellas está definida como la etapa de tratamiento, en la que el un grupo definido por el MITRE llamado CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE. La segunda etapa es la de asignación del CVE-ID, la cual puede llevarse a cabo de tres maneras diferentes:

  1. Asignación directa del CVE-ID por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
  2. Asignación directa del CVE-ID por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica.
  3. Asignación por reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta.

La tercera y última etapa es la de publicación. Ésta puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de modificación. En este proceso, el registro de la vulnerabilidad podría sufrir cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten. También pudiera darse el caso de que un CVE-ID pueda necesitar dividirse en distintos identificadores por la complejidad de la vulnerabilidad, aunque también podría darse el caso inverso, es decir, que varios identificadores se agrupen para formar un único CVE-ID. Además, es posible que estos CVE-ID sean eliminados de las listas junto con su respectivo contenido. Esto puede darse en distintos casos entre los cuales se encuentran:

  1. Cuando una vulnerabilidad ya haya sido registrada bajo otro CVE-ID.
  2. Cuando un posterior análisis de dicha vulnerabilidad demuestre que ésta no existe.
  3. Cuando el informe relativo a dicha vulnerabilidad deba ser reformulado en su totalidad.

Invitamos a visitar la web del CVE, y también nos gustaría añadir que existen distintos sitios que se encargan de ofrecer toda esta información recopilada por el MITRE junto con algunos otros datos como por ejemplo la valoración CVSS correspondiente, versiones a las que afecta, enlaces a documentación y pruebas de concepto hechas para esta vulnerabilidad, etc. Entre las web más conocidas de este tipo tenemos CVE Details, NVD (National Vulnerability Database) y el OSVDB (Open Sourced Vulnerability Database). En esta última pueden encontrarse incluso vulnerabilidades que han sido reportadas directamente a ellos y que quizás no se encuentran registradas sobre un CVE-ID ya sea porque no le han reportado junto a un identificador de este tipo o no se encuentre registrada en esta lista.

finalcve

Hasta una próxima entrada chicos, y si conocéis alguna otra web en la que se pueda consultar información acerca de las vulnerabilidades podréis agregarla en un comentario.

Umberto – umberto@highsec.es – @lTikkOl

  1. rawBasic
    rawBasic03-07-2014

    Interesante!.. ..gracias por la data..

    http://www.exploit-db.com/

    Esa es una de las que más frecuento.. ..y recién noto que está: CVE Certified/Compatible..

    PS: sigan así que está muy interesante su blog.. 😉

    • Umberto F. Schiavo
      Umberto F. Schiavo03-12-2014

      Muchas gracias 🙂

Leave a Reply to rawBasic Click here to cancel reply.

*

    No Twitter Messages