CVE, CWE, CVSS

Cover Image for CVE, CWE, CVSS
Marmeus
Marmeus

Common Vulnerabilities & Exposures (CVE)

¿Qué es un CVE?

CVE, en español Enumeración de Vulnerabilidades Comunes o EVC, es un listado de vulnerabilidades & exposiciones de seguridad de la información, cuyo objetivo es proporcionar nombres para estos problemas que han ido surgiendo a lo largo de los años.

¿Qué es una vulnerabilidad?

Una vulnerabilidad es una error en un software que puede ser usado por un hacker para ganar acceso a un sistema o red.

¿Qué es una exposición?

Una exposición es un error en un software que permite acceso a información o capacidades de un sistema o red, las cuales pueden ayudar al hacker para acceder al sistema o red.

¿Como es un registro CVE?

Los identificadores CVE son únicos, también son conocidos como: “nombres CVE”, “números CVE”, “CVE-IDs” y “CVEs”.
Cada CVE incluye los siguientes elementos:
Nota: Para que se vea más claro las partes de un CVE, he usado como ejemplo la vulnerabilidad CVE-2017-0144, también conocida como “EternalBlue”.

Un número identificador (CVE-YYYY-NNNN)

El cual indica el año que se ha descubierto y el número de vulneradbilidad.
Por ejemplo, el CVE-2017-0144 indicaría que se descubrío el año 2017 y que es la número 144, por lo que ese año se han descubierto-aceptado 143 vurnerabilidades anteriores a esta.

Una breve descricpción

Las descripciones deberían ser únicas, proporcionando detalles relevantes para ayudar a los usuarios:

  1. A la hora de encontrar la entrada del CVE mediante una vulnerabilidad especifica
  2. Distinguir entre vunerabilidades muy parecidas.

Además, deberían incluir detalles sobre el producto afectado:

Versiones afectadas

  • El tipo de vunerabilidad
  • El impacto
  • El acceso necesario para explotar dicha vulnerabilidad
  • Las porciones de código y parámetros de entrada involucrados
    En este caso, como eternalblue funciona mediante la combinación de diferentes vulnerabilidades, no se muestra las partes de código implicadas o parámetros, pero si una explicación de cada una de estas referencias.

Finalmente, hay que tener en cuenta que puede haber vulnerabilidades o exposiciones, cuyas descripciones carezcan de dicho contenido. Debido a que estas usan “referencias” a otras vulnerabilidades o exposiones y solo extraen la información relevante de cada referencia.

Referencias

Cada referencia usada en un CVE identifica el origen, incluye un buen identificador para facilitar la búsqueda en una web y anota el CVE ID asociado.

Common Weakness Enumeration (CWE)

Definición CWE

CWE, en castellano Enumeración de Debilidades Comunes, es una lista de debilidades comunes de software. La cual sirve como un lenguaje común, una regla de medición para las herramientas de ciberseguridad del software, y con una base para la identificación, mitigación y prevención de debilidades.

Ejemplos de algunos tipos de vulnerabilidades:

  • Buffer Overflows, Format Strings, Etc.
  • Strucure and Validity Problems
  • Common Special Element Manipulations
  • Channel and Path Errors
  • Handler Errors
  • User Interface Errors
  • Pathname Traversal and Equivalence Errors
  • Authentication Errors
  • Resource Management Errors
  • Insufficient Verification of Data
  • Code Evaluation and Injection
  • Randomness and Predictability

La lista de debilidades tiene varias vistas, tres concreatamente. Las cuales dependen del criterio de búsqueda que se desea realizar a la hora.

Por Conceptos de Búsqueda

Esta vista esta organizada principalmente según abstraciones de comportamiento de software.

Interesados

  • Investigadores Academicos: ¿Academic researchers can use the high-level classes that lack a significant number of children to identify potential areas for future research.?
  • Vulnerability Analysts: Usan esta vista para identificar debilidades relacionadas que pueden tener influencia para las siguientes relaciones entre clases de alto nivel y las bases.
  • ¿Assessment Vendors - Comerciante de evaluaciones?: A menudo usan esta vista para ayudar a identificar debilidades adicionales que una herramienta pueda detectar a medida que las relaciones etán más alineadas con las capacidades técnicas de una herramienta.

Por Conceptos de Desarrollo

Esta vista organiza las debilidades alrededor de los conceptos que son frecuentemente usados o encontrados en el desarrollo del software. Proporciona una variedad de categorias cuya intención es simplificar la navegación y el mapeado.

Interesados

  • Desarrollados de Software: Usan las vistas para entender mejor el potencial de los fallos que pueden ocurrir en áreas específicas de su código.
  • Profesorado: Usan esta vista para enseñar a futuros desarrolladores sobre el tipo de fallos que son comúnmente dentro de unas partes especificas del código.

Por Conceptos de Arquitectura

Esta vista esta organizada de acuerdo con las tácticas arquitectónicas de seguridad comunes. El objetivo es ayudar a los arquitectos de software en identificar errores potenciales que se pueden cometer en el diseño del software.

Interesados

  • Diseñadores de software: Pueden encontrar esta vista útil debido a que las debilidades estan organizadas en tácticas de seguridad conocidas, ayudando al diseñador en seguridad embebida a través del proceso de diseño, en vez del descubrimiento de debilidades después de la creación del software.
  • Profesorado: Pueden usar estas vistas como material cuando se habla de seguridad mediante el diseño o debilidades arquitectónicas y los tipos de fallos que se pueden cometer.

Common Vulnerability Scoring System (CVSS)

Definición CVSS

CVSS, en castellano Sistema de Puntiación de Vulnerabilidades Comunes, es un sistema de puntuación que captura las carácteristicas principales de una vulnerabilidad y produce una puntuación númerica reflejando su impacto. Esta puntuación númerica puede ser traducida a una representación cualitativa (Por ejemplo: baja, media , alta y críticia) para yudar a las organizaciones a evaluar y priorizar sus procesos de gestión de vulnerabilidades.

Bibliografía