Un CVE es un diccionario de vulnerabilidades de ciberseguridad públicamente conocidas que tiene como objetivo identificar y nombrar de manera única las vulnerabilidades divulgadas públicamente relacionadas con versiones específicas de un software o una base de código. Los interesados tienen confianza en que pueden referirse a un identificador o ID de CVE y saber que están hablando de una vulnerabilidad específica y única, independientemente de la herramienta o forma que se utilice. En otras palabras, un CVE es el estándar para identificar de manera única las vulnerabilidades, y un diccionario de vulnerabilidades de ciberseguridad públicamente conocidas.
También puede verse como un punto de pivote entre los escáneres de vulnerabilidades, la información de parches de proveedores y las operaciones cibernéticas en su conjunto. Un CVE no es una mitigación de vulnerabilidades, una base de datos o una fuente de riesgos de vulnerabilidad, impactos, soluciones o información técnica. Tampoco es una herramienta para divulgar públicamente vulnerabilidades.
La Corporación MITRE puede supervisar el programa CVE operativa y administrativamente, mientras que las CNAs son organizaciones que asignan IDs de CVE a investigadores y proveedores para su inclusión en los anuncios públicos iniciales de nuevas vulnerabilidades que han sido descubiertas.
Cada CAN tiene un ámbito específico de responsabilidad, delimitando qué productos, fuentes de información o dominios para los cuales pueden asignar CVEs.
¿Cuándo se puede hacer una solicitud de ID de CVE?
Cuando haya identificado una vulnerabilidad nueva o previamente no asignada en cualquier producto. Sin embargo, no tiene que ser quien la descubrió. Si ha intentado contactar al proveedor o desarrollador del producto afectado, y el proveedor o desarrollador es un CAN, ellos asignarán el ID de CVE por usted. Si el proveedor o desarrollador no es un CAN, necesitan verificar si el problema está reportado o si ya se ha asignado otro ID de CVE al problema.
Tenga en cuenta que la vulnerabilidad no necesita ser pública antes de solicitar un ID de CVE, pero sí debe ser pública para ser incluida en la lista CVE en su totalidad. El conteo es un método utilizado por CVE para determinar si un error tiene vulnerabilidades, o si ya se ha encontrado una vulnerabilidad, cuántas de ellas están dentro del software.
El resumen del proceso de conteo es el siguiente:
Debe comenzar dividiendo el informe en algunos errores individuales.
Determinar si los errores individuales resultan en vulnerabilidades. Si descubres que resultan en vulnerabilidades, necesitas analizar cuántos de ellos hay, y si justifican un ID de CVE. Si descubres que los errores no tienen ninguna vulnerabilidad, determina si una combinación diferente de los errores resulta en una. La información sobre la vulnerabilidad debe ser pública y la comunidad debe poder hacer algo para mitigarla. La comunidad tiene que estar preocupada por la seguridad del producto, y finalmente, necesitas determinar si ya se ha asignado un ID de CVE a la vulnerabilidad. Si no se ha hecho, puedes hacer una solicitud.
Cómo hacer una solicitud para un ID de CVE
Para hacerlo, comienza visitando https://cveform.mitre.org/ y haciendo clic en “Solicitar un ID de CVE”.
Necesitarás proporcionar la siguiente información:
Tipo de vulnerabilidad, proveedor o desarrollador del producto, información del producto afectado y versión, y en algunos casos, también podrías necesitar mencionar el tipo de ataque, el impacto, el componente afectado, el vector de ataque, información sobre cómo el proveedor reconoció la vulnerabilidad y algunas referencias públicas.
Una vez que la solicitud sea enviada, recibirás un mensaje de confirmación por correo electrónico.
MITRE revisará la solicitud.
- Si hay suficiente información que indique que la asignación es, de hecho, válida, entonces el Equipo de Contenidos te enviará el ID de CVE que puedes usar.
- Si la vulnerabilidad es un producto cubierto por un CAN, serás dirigido al CAN correspondiente.
- Si no hay suficiente información para indicar que es válida, se te pedirá más información.
Si se asigna un ID de CVE a la vulnerabilidad, se marcará como “RESERVADO” en la lista. La entrada del ID de CVE no contiene detalles de la vulnerabilidad durante esta fase. Para publicarlos, un ID de CVE debe hacer referencia a información pública. Las referencias públicas simplemente deben ser incluidas en un ID de CVE antes de la publicación. Una vez que el ID de CVE tiene una referencia pública, y MITRE o el CAN han sido notificados de que es pública, MITRE completará la descripción de la entrada de CVE y la publicará.
La Forma Correcta de Escribir una Descripción
En esta descripción, debes escribir la información del producto, la versión y el tipo de problema. Se envían en un campo separado, y necesitan estar en ambas ubicaciones porque los campos separados no están incluidos en la lista de CVE utilizada por los usuarios posteriores.
El programa CVE debe ser confiable para no filtrar la información privilegiada que los reporteros comparten con él, y esto requiere que cada detalle esté respaldado por otra fuente que ayude con esto. Solo se necesita incluir información relevante sobre la vulnerabilidad, y debe estar escrita en inglés cuando se envía al CAN Primario.
MITRE tiene su propio formato de descripción que se ve algo así:
- [TIPOVULN] en [COMPONENTE] en [VENDOR][PRODUCTO] [VERSIÓN] permite a [ATACANTE] [IMPACTO] a través de [VECTOR].
- [COMPONENTE] en [VENDOR] [PRODUCTO] [VERSIÓN] [CAUSA RAÍZ], lo que permite a [ATACANTE] [IMPACTO] a través de [VECTOR].
Puedes encontrar información adicional sobre el estilo MITRE aquí:
https://cveproject.github.io/docs/content/key-details-phrasing.pdf
Para actualizar un ID de CVE existente, necesitas tener información adicional para agregar a una entrada de CVE. De esta manera, puedes solicitar que la entrada se actualice con esta información adicional, y puedes actualizarla con referencias, descripciones, o en algunos casos, incluso disputarla si no es un ID de CVE válido.
Esta es la manera correcta de publicar un CVE. Para resumir; el proceso básico para reservar un ID de CVE es el siguiente:
- Primero, determine si se necesita y es apropiado un ID de CVE, si es así, contacte a un proveedor cuyo producto esté afectado para divulgar cualquier vulnerabilidad, esto se conoce como divulgación coordinada.
- Luego, determine si la solicitud debe hacerse a un CNA del proveedor, si no, determine si la solicitud debe hacerse a un coordinador CNA de terceros o a una lista de correo de divulgación.
- Si no, solicite un ID de CVE al CNA raíz del programa CVE utilizando el “formulario web de solicitud de CVE” y proporcione la información requerida para la solicitud.
- Una vez que reciba un correo electrónico de confirmación con un número de referencia, puede guardarlo para sus registros.
- Proporcione información de seguimiento si es necesario.
- Reciba un ID de CVE o una explicación si no se proporcionó un ID de CVE y comparta el ID de CVE con todas las partes.
- Incluya el ID de CVE en el anuncio de la vulnerabilidad y notifique al equipo de CVE que la vulnerabilidad se ha hecho pública utilizando el formulario web de solicitud de CCVE, y seleccionando “Notificar a CVE sobre una publicación”.
La información que se necesita proporcionar en la solicitud del Programa CVE Root CNA requiere lo siguiente:
- Tipo de solicitud.
- La dirección de correo electrónico del solicitante.
- El número de IDs que se están solicitando.
- El tipo de vulnerabilidad para cada ID de CVE solicitado.
- El proveedor afectado para cada vulnerabilidad.
- El producto y la versión afectados para cada vulnerabilidad, lo cual puede ser un nombre genérico si la vulnerabilidad aún no se ha hecho pública.