CVE (Common Vulnerabilities and Exposures) — це список загальновідомих вразливостей та експлойтів у програмному забезпеченні та апаратному забезпеченні. Кожна вразливість у базі даних має унікальний ідентифікатор формату CVE-РРРР-NNNN, де:
CVE — префікс, що вказує на формат ідентифікатора.
РРРР — рік, у який вразливість була зареєстрована.
NNNN — послідовний номер, який може містити від чотирьох до семи цифр, залежно від кількості зареєстрованих вразливостей у даному році.
Базою даних CVE керує організація MITRE Corporation. MITRE є некомерційною організацією, яка надає послуги з досліджень і розвитку для уряду США, а також займається низкою проєктів з кібербезпеки та технологій.
MITRE працює у партнерстві з Національним інститутом стандартів і технологій (NIST) та іншими організаціями для управління базою даних CVE. Вони забезпечують координацію між дослідниками з кібербезпеки, розробниками програмного забезпечення та іншими зацікавленими сторонами для ідентифікації, перевірки та публікації інформації про вразливості.
MITRE отримує значну частину свого фінансування від уряду США, зокрема через контрактні роботи та гранти. У рамках цих контрактів MITRE надає різноманітні послуги, включаючи дослідження та розробки в галузі кібербезпеки. MITRE також залучає фінансування через різноманітні дослідницькі проєкти та гранти, спрямовані на підвищення рівня кібербезпеки та розвитку нових технологій.
База даних CVE є важливим інструментом для дослідників з кібербезпеки, розробників програмного забезпечення та системних адміністраторів. Вона дозволяє ідентифікувати відомі вразливості, оцінювати ризики та приймати заходи для їх усунення. Для проведення penetration tests (тестів на проникнення) використання CVE допомагає швидко знаходити слабкі місця в системах, що підвищує їх безпеку та знижує ризики атак.
Публікація та підтримка бази даних CVE сприяє відкритості та прозорості в сфері кібербезпеки, що допомагає покращити захист інформаційних систем на глобальному рівні. CVE List фактично є стандартом з обліку вразливостей. Існує безліч інструментів які базуються на інформації з цієї бази. Наприклад GitHub бот, який робить pull-request з оновленими бібліотеками, якщо в них було виявлено вразливість. Тестувальники використовують базу для створення автоматичних penetration-тестів, щоб перевірити систему на вразливості.
Процес додавання нових кодів в базу починається з виявлення вразливості, яка може бути знайдена дослідником з кібербезпеки, інженером або іншим спеціалістом. Після виявлення вразливості спеціаліст подає заявку на її реєстрацію до відповідного органу, який адмініструє базу даних CVE. Цей орган перевіряє заявку, присвоює їй унікальний ідентифікатор та додає до бази даних. Наразі (травень 2024 року) в базі СVE налічується 237,725 різного роду вразливостей, інформацію про які можна скачати на сайті CVE, або скористатись пошуком. Цю базу, до речі можна використовувати під час навчання програмуванню (для пет-проєктів тощо) та тестуванню.
Lock. Картинка щоб допис виглядав гарніше ^_^
Приклади найвідоміших та найнебезпечніших CVE в історії
CVE-2017-0144: EternalBlue
Вразливість у протоколі SMBv1 від Microsoft, яку використовували для поширення шкідливого програмного забезпечення, такого як WannaCry та NotPetya. EternalBlue дозволяла зловмиснику віддалено виконувати код на цільовій системі. Через цю вразливість було завдано величезних збитків по всьому світу.
CVE-2014-0160: Heartbleed
Це вразливість у бібліотеці OpenSSL, яка дозволяла зловмисникам читати пам'ять сервера або клієнта, що призводило до розголошення чутливих даних, таких як приватні ключі, паролі та інша конфіденційна інформація. Heartbleed серйозно вплинула на безпеку багатьох веб-сайтів та сервісів.
CVE-2016-5195: Dirty COW
Вразливість у ядрі Linux, яка дозволяла локальному користувачеві підвищувати свої привілеї та отримувати доступ до системи з правами адміністратора. Dirty COW була присутня в ядрі Linux більше дев'яти років, перш ніж була виявлена та виправлена.
CVE-2017-5638: Apache Struts
Вразливість у фреймворку Apache Struts дозволяла віддаленому зловмиснику виконувати код на сервері. Вразливість була використана під час атаки на Equifax у 2017 році, що призвело до компрометації персональних даних понад 143 мільйонів людей.
CVE-2018-7600: Drupalgeddon 2
Вразливість у системі управління контентом Drupal, яка дозволяла зловмиснику виконувати код на сервері. Drupalgeddon 2 вплинула на безліч веб-сайтів, які використовували цю платформу.
CVE-2021-44228: Log4Shell
Ввразливість у бібліотеці Apache Log4j, яка використовується для логування в Java-аплікаціях, дозволяла віддаленому зловмиснику виконувати довільний код на сервері. Log4Shell вважалася однією з найбільш критичних вразливостей останніх років через її широке розповсюдження та потенційний вплив на багато організацій.
Інформація на сайті tseivo.com є суб'єктивною та відображає особисті погляди та досвід авторів та авторок блогів.
Використовуйте цей ресурс як одне з декількох джерел інформації під час своїх досліджень та прийняття рішень. Завжди застосовуйте критичне мислення. Людина сама несе відповідальність за свої рішення та дії.
