Cos'è un elenco CVE?

Un elenco CVE (Common Vulnerabilities and Exposures) è un elenco di falle nella sicurezza informatica divulgato al pubblico. Quando si fa riferimento a un CVE, si intende in genere una falla di sicurezza a cui è stato assegnato un numero identificativo (ID) CVE.

Gli avvisi di sicurezza emessi da fornitori e ricercatori fanno quasi sempre riferimento ad almeno un ID CVE. I CVE aiutano i professionisti IT a rendere i sistemi informatici quanto più sicuri possibile, perché grazie a loro i team possono coordinare le iniziative e stabilire quali sono le vulnerabilità più urgenti da affrontare.

Nel 1999 MITRE Corporation, un'azienda di ricerca e sviluppo finanziata dal governo statunitense, sviluppò il sistema CVE, uno standard uniforme per documentare e tracciare i bug di sicurezza dei software. 

Le voci incluse nell'elenco CVE sono concise e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni sono contenute in altri database, ad esempio l'U.S. National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri elenchi gestiti e aggiornati da fornitori e altre organizzazioni.

Nell'ambito dei diversi sistemi, gli ID delle CVE forniscono agli utenti un modo affidabile per individuare vulnerabilità specifiche e coordinare lo sviluppo di strumenti e soluzioni per la sicurezza. MITRE Corporation mantiene l'elenco dei CVE, ma spesso una falla nella sicurezza che diventa una voce di quell'elenco è stata inviata da membri o da organizzazioni della community open source.

Informazioni sugli identificativi CVE

Gli identificativi CVE (o ID CVE) vengono assegnati da un'autorità di numerazione CVE (CNA, CVE Numbering Authority). Esistono circa 100 CNA, che rappresentano i principali fornitori IT, tra cui Red Hat, IBM, Cisco, Oracle e Microsoft, oltre a società assicurative ed enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.

Alle CNA vengono assegnati blocchi di identificativi CVE, che verranno poi abbinati alle nuove falle non appena vengono rilevate. Ogni anno vengono pubblicati migliaia di ID CVE. A un unico prodotto complesso come un sistema operativo possono essere assegnati centinaia di CVE. Ciò significa che tale prodotto diventa particolarmente vulnerabile quando entra nelle fasi di fine supporto (quando si interrompe la fornitura delle correzioni dei bug e delle patch di sicurezza) e di fine del ciclo di vita (quando si interrompe completamente il supporto proprietario). Per esempio, il 1° luglio 2024 si è concluso il ciclo di vita di CentOS Linux 7, e a distanza di un giorno è stato annunciato un nuovo CVE. Ciò testimonia l'importanza di eseguire la migrazione su un sistema operativo stabile che riceve regolarmente patch e aggiornamenti.

Esegui la migrazione da CentOS Linux a Red Hat Enterprise Linux

Chiunque (un fornitore, un ricercatore o un utente competente) può rilevare e segnalare una vulnerabilità di sicurezza. Molti fornitori offrono ricompense per l'individuazione dei bug, con l'obiettivo di promuovere la divulgazione responsabile dei problemi di sicurezza. Se individui una vulnerabilità in un software open source è bene sottoporla alla community pertinente.

Le informazioni sulle falle di sicurezza giungono quindi, tramite vari percorsi, a una CNA, che le assegna poi a un ID CVE. A questo punto la nuova voce CVE viene pubblicata sul sito web CVE.

Spesso, un ID CVE viene assegnato da una CNA prima che un avviso di sicurezza venga reso pubblico. Di solito i fornitori svelano le vulnerabilità di sicurezza solo dopo aver sviluppato e testato le correzioni giuste, in modo da prevenire gli attacchi di utenti malintenzionati.

Quando viene resa pubblica, una voce CVE include l'ID CVE (nel formato "CVE-2019-1234567"), una breve descrizione della vulnerabilità o dell'esposizione e i riferimenti, ad esempio link a report o advisory di vulnerabilità.

Secondo le regole operative dell'autorità di numerazione CVE, gli identificativi CVE vengono assegnati alle falle che soddisfano criteri specifici:

• La falla deve poter essere corretta in modo indipendente.
  La falla può essere corretta in modo indipendente da qualsiasi altro bug.
• La falla deve essere riconosciuta dal fornitore del prodotto o documentata.
  Il fornitore del software o dell'hardware conferma il bug e il suo potenziale impatto negativo sullo sicurezza. In alternativa, chi segnala la falla deve condividere un report sulla vulnerabilità che dimostra l'impatto negativo del bug e accerta la violazione dei criteri di sicurezza del sistema interessato.
• La falla deve riguardare un solo codice base.
  In caso contrario, bisogna creare un CVE per ciascun prodotto. In presenza di librerie, protocolli o standard condivisi, alla falla viene assegnato un unico CVE soltanto nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità. In caso contrario, a ogni codice o prodotto interessato dalla falla viene assegnato un CVE univoco.

Per misurare la scala di gravità di una vulnerabilità esistono diversi metodi. Uno è il Common Vulnerability Scoring System (CVSS), un insieme di standard open per l'assegnazione di un punteggio a una vulnerabilità, che ne classifica la gravità. I punteggi CVSS sono utilizzati da NVD, CERT e altri per valutare l'impatto delle vulnerabilità. I punteggi vanno da 0,0 a 10,0 e i numeri più alti rappresentano un livello di gravità più elevato. Esistono inoltre sistemi di classificazione proprietari creati da numerosi fornitori di servizi di sicurezza.

Tre conclusioni 

Analizza i tuoi deployment. Il fatto che esista un CVE non significa che uno specifico ambiente e deployment possano essere compromessi. Assicurati di leggere ogni CVE per verificarne la pertinenza (totale o parziale) rispetto ai vari componenti del tuo ambiente: sistema operativo, applicazioni, moduli e configurazioni.

Adotta processi di gestione delle vulnerabilità.La gestione della vulnerabilità consiste in un processo ripetibile mirato a identificare, classificare, assegnare le priorità e mitigare le vulnerabilità. Nel complesso, significa comprendere i rischi che gravano sulla tua organizzazione in modo da assegnare le giuste priorità alle principali vulnerabilità che devono essere risolte.

Divulga le informazioni. I CVE hanno impatto sui sistemi della tua organizzazione sia per le vulnerabilità in sé, sia per i tempi di fermo conseguenti alla loro risoluzione. Per questo è importante comunicare e coordinarsi con i clienti interni, nonché condividere le vulnerabilità con l'eventuale reparto di gestione centralizzata del rischio della tua azienda.

Contributo di Red Hat agli elenchi CVE

In quanto contributore leader al software open source, Red Hat è attivamente coinvolta nelle iniziative delle community che si occupano di sicurezza. Red Hat è una CNA e utilizza gli ID CVE per tenere traccia delle vulnerabilità di sicurezza. Red Hat Product Security gestisce un database degli aggiornamenti di sicurezza aperto e aggiornato di frequente, in cui puoi eseguire ricerche usando l'identificativo CVE.

Red Hat Product Security fornisce l'accesso ai dati di sicurezza non elaborati sul Red Hat Customer Portal e in un formato utilizzabile con l'API (interfaccia di programmazione delle applicazioni) Security Data.

Oltre ai report di sicurezza e alle metriche prodotte da Red Hat, i clienti possono utilizzare questi dati non elaborati per produrre metriche su misura per il proprio contesto.

I dati forniti dall'API Security Data includono definizioni Open Vulnerability and Assessment Language (OVAL), documenti Common Vulnerability Reporting Framework (CVRF) e dati CVE. I dati sono disponibili in formato XML o JSON.