Do czego potrzebna jest baza danych CVE (Wspólne Luki i Ekspozycje)?

CVE (Common Vulnerabilities and Exposures) — to lista powszechnie znanych luk i exploitów w oprogramowaniu i sprzęcie. Każda luka w bazie danych ma unikalny identyfikator w formacie CVE-RRRR-NNNN, gdzie:

Bazą danych CVE zarządza organizacja MITRE Corporation. MITRE jest organizacją non-profit, która świadczy usługi badawcze i rozwojowe dla rządu USA, a także zajmuje się szeregiem projektów związanych z cyberbezpieczeństwem i technologiami.

MITRE współpracuje z Narodowym Instytutem Standardów i Technologii (NIST) oraz innymi organizacjami w celu zarządzania bazą danych CVE. Zapewniają koordynację między badaczami z zakresu cyberbezpieczeństwa, programistami oraz innymi zainteresowanymi stronami w celu identyfikacji, weryfikacji i publikacji informacji o lukach.

MITRE otrzymuje znaczną część swojego finansowania od rządu USA, w tym poprzez prace kontraktowe i dotacje. W ramach tych kontraktów MITRE świadczy różnorodne usługi, w tym badania i rozwój w dziedzinie cyberbezpieczeństwa. MITRE pozyskuje również finansowanie poprzez różne projekty badawcze i dotacje, mające na celu poprawę poziomu cyberbezpieczeństwa oraz rozwój nowych technologii.

Baza danych CVE jest ważnym narzędziem dla badaczy z zakresu cyberbezpieczeństwa, programistów oraz administratorów systemów. Umożliwia identyfikację znanych luk, ocenę ryzyka oraz podejmowanie działań w celu ich usunięcia. Do przeprowadzania testów penetracyjnych wykorzystanie CVE pomaga szybko znajdować słabe punkty w systemach, co zwiększa ich bezpieczeństwo i zmniejsza ryzyko ataków.

Publikacja i utrzymanie bazy danych CVE przyczynia się do otwartości i przejrzystości w dziedzinie cyberbezpieczeństwa, co pomaga poprawić ochronę systemów informacyjnych na poziomie globalnym. Lista CVE jest de facto standardem w rejestracji luk. Istnieje wiele narzędzi opartych na informacjach z tej bazy. Na przykład bot GitHub, który tworzy pull-request z zaktualizowanymi bibliotekami, jeśli w nich wykryto lukę. Testerzy wykorzystują bazę do tworzenia automatycznych testów penetracyjnych, aby sprawdzić system pod kątem luk. Proces dodawania nowych kodów do bazy zaczyna się od wykrycia luki, która może być znaleziona przez badacza z zakresu cyberbezpieczeństwa, inżyniera lub innego specjalistę. Po wykryciu luki specjalista składa wniosek o jej rejestrację do odpowiedniego organu, który zarządza bazą danych CVE. Ten organ weryfikuje wniosek, przyznaje mu unikalny identyfikator i dodaje do bazy danych. Na dzień dzisiejszy (maj 2024 roku) w bazie CVE znajduje się 237,725 różnego rodzaju luk, informacje o których można pobrać na stronie CVE lub skorzystać z wyszukiwania. Tę bazę, nawiasem mówiąc, można wykorzystać podczas nauki programowania (do projektów pet itp.) oraz testowania.

Luka w protokole SMBv1 od Microsoftu, która była wykorzystywana do rozprzestrzeniania złośliwego oprogramowania, takiego jak WannaCry i NotPetya. EternalBlue pozwalał atakującemu zdalnie wykonywać kod na docelowym systemie. Z powodu tej luki poniesiono ogromne straty na całym świecie.

To luka w bibliotece OpenSSL, która pozwalała atakującym odczytywać pamięć serwera lub klienta, co prowadziło do ujawnienia wrażliwych danych, takich jak klucze prywatne, hasła i inne poufne informacje. Heartbleed poważnie wpłynęła na bezpieczeństwo wielu stron internetowych i usług.

Luka w jądrze Linux, która pozwalała lokalnemu użytkownikowi podnosić swoje uprawnienia i uzyskiwać dostęp do systemu z prawami administratora. Dirty COW była obecna w jądrze Linux przez ponad dziewięć lat, zanim została wykryta i naprawiona.

Luka w frameworku Apache Struts pozwalała zdalnemu atakującemu wykonywać kod na serwerze. Luka ta była wykorzystywana podczas ataku na Equifax w 2017 roku, co doprowadziło do kompromitacji danych osobowych ponad 143 milionów ludzi.

Luka w systemie zarządzania treścią Drupal, która pozwalała atakującemu wykonywać kod na serwerze. Drupalgeddon 2 wpłynęła na wiele stron internetowych, które korzystały z tej platformy.

Luka w bibliotece Apache Log4j, która jest używana do logowania w aplikacjach Java, pozwalała zdalnemu atakującemu wykonywać dowolny kod na serwerze. Log4Shell uważana była za jedną z najbardziej krytycznych luk ostatnich lat ze względu na jej szerokie rozprzestrzenienie i potencjalny wpływ na wiele organizacji.