Для чого потрібна база даних CVE (Common Vulnerabilities and Exposures)?

CVE (Common Vulnerabilities and Exposures) — це список загальновідомих вразливостей та експлойтів у програмному забезпеченні та апаратному забезпеченні. Кожна вразливість у базі даних має унікальний ідентифікатор формату CVE-РРРР-NNNN, де:

Базою даних CVE керує організація MITRE Corporation. MITRE є некомерційною організацією, яка надає послуги з досліджень і розвитку для уряду США, а також займається низкою проєктів з кібербезпеки та технологій.

MITRE працює у партнерстві з Національним інститутом стандартів і технологій (NIST) та іншими організаціями для управління базою даних CVE. Вони забезпечують координацію між дослідниками з кібербезпеки, розробниками програмного забезпечення та іншими зацікавленими сторонами для ідентифікації, перевірки та публікації інформації про вразливості.

MITRE отримує значну частину свого фінансування від уряду США, зокрема через контрактні роботи та гранти. У рамках цих контрактів MITRE надає різноманітні послуги, включаючи дослідження та розробки в галузі кібербезпеки. MITRE також залучає фінансування через різноманітні дослідницькі проєкти та гранти, спрямовані на підвищення рівня кібербезпеки та розвитку нових технологій.

База даних CVE є важливим інструментом для дослідників з кібербезпеки, розробників програмного забезпечення та системних адміністраторів. Вона дозволяє ідентифікувати відомі вразливості, оцінювати ризики та приймати заходи для їх усунення. Для проведення penetration tests (тестів на проникнення) використання CVE допомагає швидко знаходити слабкі місця в системах, що підвищує їх безпеку та знижує ризики атак.

Публікація та підтримка бази даних CVE сприяє відкритості та прозорості в сфері кібербезпеки, що допомагає покращити захист інформаційних систем на глобальному рівні. CVE List фактично є стандартом з обліку вразливостей. Існує безліч інструментів які базуються на інформації з цієї бази. Наприклад GitHub бот, який робить pull-request з оновленими бібліотеками, якщо в них було виявлено вразливість. Тестувальники використовують базу для створення автоматичних penetration-тестів, щоб перевірити систему на вразливості. Процес додавання нових кодів в базу починається з виявлення вразливості, яка може бути знайдена дослідником з кібербезпеки, інженером або іншим спеціалістом. Після виявлення вразливості спеціаліст подає заявку на її реєстрацію до відповідного органу, який адмініструє базу даних CVE. Цей орган перевіряє заявку, присвоює їй унікальний ідентифікатор та додає до бази даних. Наразі (травень 2024 року) в базі СVE налічується 237,725 різного роду вразливостей, інформацію про які можна скачати на сайті CVE, або скористатись пошуком. Цю базу, до речі можна використовувати під час навчання програмуванню (для пет-проєктів тощо) та тестуванню.

Вразливість у протоколі SMBv1 від Microsoft, яку використовували для поширення шкідливого програмного забезпечення, такого як WannaCry та NotPetya. EternalBlue дозволяла зловмиснику віддалено виконувати код на цільовій системі. Через цю вразливість було завдано величезних збитків по всьому світу.

Це вразливість у бібліотеці OpenSSL, яка дозволяла зловмисникам читати пам'ять сервера або клієнта, що призводило до розголошення чутливих даних, таких як приватні ключі, паролі та інша конфіденційна інформація. Heartbleed серйозно вплинула на безпеку багатьох веб-сайтів та сервісів.

Вразливість у ядрі Linux, яка дозволяла локальному користувачеві підвищувати свої привілеї та отримувати доступ до системи з правами адміністратора. Dirty COW була присутня в ядрі Linux більше дев'яти років, перш ніж була виявлена та виправлена.

Вразливість у фреймворку Apache Struts дозволяла віддаленому зловмиснику виконувати код на сервері. Вразливість була використана під час атаки на Equifax у 2017 році, що призвело до компрометації персональних даних понад 143 мільйонів людей.

Вразливість у системі управління контентом Drupal, яка дозволяла зловмиснику виконувати код на сервері. Drupalgeddon 2 вплинула на безліч веб-сайтів, які використовували цю платформу.

Ввразливість у бібліотеці Apache Log4j, яка використовується для логування в Java-аплікаціях, дозволяла віддаленому зловмиснику виконувати довільний код на сервері. Log4Shell вважалася однією з найбільш критичних вразливостей останніх років через її широке розповсюдження та потенційний вплив на багато організацій.