Hvad er CVE (Common Vulnerabilities and Exposures)?

CVE står for Common Vulnerabilities and Exposures. Det er et system, der holder styr på cybersikkerhedssårbarheder, som allerede er kendt for offentligheden.

Hver CVE-post har sin egen ID, som CVE-2024-492881, og forklarer en specifik svaghed i software, hardware eller firmware, som angribere kunne bruge til at udnytte systemet.

CVE-programmet blev lanceret af MITRE Corporation, en amerikansk føderalt finansieret nonprofitorganisation fokuseret på cybersikkerhed og teknologi. I dag fortsætter MITRE med at administrere CVE-systemet med tilsyn fra CVE-bestyrelsen—en gruppe, der inkluderer sikkerhedseksperter, leverandører og globale interessenter. Organisationer, leverandører, sikkerhedsværktøjer og forskere verden over bruger CVE til at spore sårbarheder og administrere patches.

Hvorfor CVE er vigtigt i cybersikkerhed

Før CVE stolede forskere og organisationer på separate navngivningsskemaer, hvilket gjorde det vanskeligt at spore sårbarheder på tværs af forskellige værktøjer og rapporter.

CVE hjælper med at løse dette problem ved at tilbyde:

• Konsistente identifikatorer for hver sårbarhed
• Centraliseret synlighed i den globale sikkerhedsdatabase
• Lettere samarbejde blandt leverandører, forskere og organisationer involveret i cybersikkerhed.

CVE danner grundlaget for sikkerhedsværktøjer som sårbarhedsscannere, SCA, ASPM og patch management-systemer, der er afhængige af CVE ID’er for at opdage og prioritere risici.

Hvordan fungerer CVE?

Hver CVE-post i sårbarhedsdatabasen inkluderer

• En CVE ID - en unik identifikator for en sårbarhed
• En Beskrivelse - forklaring af sårbarheden
• Referencer - betroede eksterne kilder, der giver detaljeret information om sårbarheden
• En CVSS Score - alvorlighedsvurdering, en vurdering der fortæller dig, hvor alvorlig eller hvilken indvirkning en sårbarhed har, hvis den udnyttes.

Alle CVE’er er offentligt tilgængelige på cve.org, og også spejlet i den Nationale Sårbarhedsdatabase (NVD) vedligeholdt af NIST (National Institute of Standards and Technology), som er et ikke-regulerende agentur under det amerikanske handelsministerium.

Kendte vs. Ukendte Sårbarheder

Kendte Sårbarheder

Sårbarheder, som sikkerhedsorganisationer og forskere er opmærksomme på og kan levere patches til at adressere sårbarhederne.

De kendte sårbarheder er ofte allerede offentliggjort i databaser som CVE eller NVD.

Eksempel:

CVE-2017-5638 — Apache Struts sårbarheden udnyttet i Equifax-bruddet (2017).

Ukendte (Zero-Day) Sårbarheder

Disse er uopdagede eller uoplyste fejl; de eksisterer i software, men er endnu ikke dokumenteret i CVE-databaser.

Angribere kan udnytte dem, før leverandøren frigiver en patch. Dette er en fejl, der er meget farlig.

Eksempel:

En browser sårbarhed bruges af angribere, før Google eller Microsoft frigiver en rettelse.

Relaterede Termer

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Zero-Day Sårbarhed
• Udnyttelse
• Patch Management
• Sårbarhedsstyring
• Common Weakness Enumeration (CWE)

FAQ: CVE