Wofür wird die CVE-Datenbank (Common Vulnerabilities and Exposures) benötigt?

CVE (Common Vulnerabilities and Exposures) — ist eine Liste allgemein bekannter Schwachstellen und Exploits in Software und Hardware. Jede Schwachstelle in der Datenbank hat eine eindeutige Kennung im Format CVE-JJJJ-NNNN, wobei:

Die CVE-Datenbank wird von der MITRE Corporation verwaltet. MITRE ist eine gemeinnützige Organisation, die Forschungs- und Entwicklungsdienste für die US-Regierung bereitstellt und sich mit einer Reihe von Projekten im Bereich Cybersicherheit und Technologie beschäftigt.

MITRE arbeitet in Partnerschaft mit dem National Institute of Standards and Technology (NIST) und anderen Organisationen, um die CVE-Datenbank zu verwalten. Sie gewährleisten die Koordination zwischen Cybersicherheitsforschern, Softwareentwicklern und anderen Interessengruppen, um Informationen über Schwachstellen zu identifizieren, zu überprüfen und zu veröffentlichen.

MITRE erhält einen erheblichen Teil seiner Finanzierung von der US-Regierung, insbesondere durch Vertragsarbeiten und Zuschüsse. Im Rahmen dieser Verträge bietet MITRE verschiedene Dienstleistungen an, darunter Forschung und Entwicklung im Bereich Cybersicherheit. MITRE akquiriert auch Mittel durch verschiedene Forschungsprojekte und Zuschüsse, die darauf abzielen, die Cybersicherheit zu erhöhen und neue Technologien zu entwickeln.

Die CVE-Datenbank ist ein wichtiges Werkzeug für Cybersicherheitsforscher, Softwareentwickler und Systemadministratoren. Sie ermöglicht es, bekannte Schwachstellen zu identifizieren, Risiken zu bewerten und Maßnahmen zu ergreifen, um diese zu beheben. Bei der Durchführung von Penetrationstests hilft die Verwendung von CVE, Schwachstellen in Systemen schnell zu finden, was deren Sicherheit erhöht und die Angriffsrisiken verringert.

Die Veröffentlichung und Pflege der CVE-Datenbank fördert die Offenheit und Transparenz im Bereich der Cybersicherheit, was dazu beiträgt, den Schutz von Informationssystemen auf globaler Ebene zu verbessern. Die CVE-Liste ist faktisch der Standard zur Erfassung von Schwachstellen. Es gibt zahlreiche Werkzeuge, die auf Informationen aus dieser Datenbank basieren. Zum Beispiel ein GitHub-Bot, der Pull-Requests mit aktualisierten Bibliotheken erstellt, wenn in diesen eine Schwachstelle entdeckt wurde. Tester verwenden die Datenbank, um automatisierte Penetrationstests durchzuführen, um Systeme auf Schwachstellen zu überprüfen. Der Prozess der Hinzufügung neuer Codes zur Datenbank beginnt mit der Entdeckung einer Schwachstelle, die von einem Cybersicherheitsforscher, Ingenieur oder einem anderen Fachmann gefunden werden kann. Nach der Entdeckung der Schwachstelle reicht der Fachmann einen Antrag auf deren Registrierung bei der zuständigen Stelle ein, die die CVE-Datenbank verwaltet. Diese Stelle überprüft den Antrag, weist ihm eine eindeutige Kennung zu und fügt ihn der Datenbank hinzu. Derzeit (Mai 2024) enthält die CVE-Datenbank 237.725 verschiedene Arten von Schwachstellen, deren Informationen XLINKSTARTX1Xvon der CVE-Website heruntergeladen werden können, oder man kann die Suche nutzen. Diese Datenbank kann übrigens auch beim Programmieren lernen (für Pet-Projekte usw.) und beim Testen verwendet werden.

Eine Schwachstelle im SMBv1-Protokoll von Microsoft, die zur Verbreitung von Malware wie WannaCry und NotPetya verwendet wurde. EternalBlue ermöglichte es einem Angreifer, Code auf dem Zielsystem auszuführen. Diese Schwachstelle verursachte weltweit enorme Schäden.

Dies ist eine Schwachstelle in der OpenSSL-Bibliothek, die es Angreifern ermöglichte, den Speicher von Servern oder Clients zu lesen, was zur Offenlegung sensibler Daten wie privater Schlüssel, Passwörter und anderer vertraulicher Informationen führte. Heartbleed hatte erhebliche Auswirkungen auf die Sicherheit vieler Websites und Dienste.

Eine Schwachstelle im Linux-Kernel, die es einem lokalen Benutzer ermöglichte, seine Berechtigungen zu erhöhen und mit Administratorrechten auf das System zuzugreifen. Dirty COW war mehr als neun Jahre im Linux-Kernel vorhanden, bevor sie entdeckt und behoben wurde.

Eine Schwachstelle im Apache Struts-Framework, die es einem entfernten Angreifer ermöglichte, Code auf dem Server auszuführen. Diese Schwachstelle wurde während des Angriffs auf Equifax im Jahr 2017 ausgenutzt, was zur Kompromittierung persönlicher Daten von über 143 Millionen Menschen führte.

Eine Schwachstelle im Content-Management-System Drupal, die es einem Angreifer ermöglichte, Code auf dem Server auszuführen. Drupalgeddon 2 betraf zahlreiche Websites, die diese Plattform verwendeten.

Eine Schwachstelle in der Apache Log4j-Bibliothek, die für das Logging in Java-Anwendungen verwendet wird, die es einem entfernten Angreifer ermöglichte, beliebigen Code auf dem Server auszuführen. Log4Shell galt als eine der kritischsten Schwachstellen der letzten Jahre aufgrund ihrer weiten Verbreitung und potenziellen Auswirkungen auf viele Organisationen.