Was ist CVE (Common Vulnerabilities and Exposures)?

CVE steht für Common Vulnerabilities and Exposures. Es ist ein System, das bekannte öffentlich zugängliche Cybersecurity-Schwachstellen verfolgt.

Jeder CVE-Eintrag hat eine eigene ID, wie z.B. CVE-2024-492881, und beschreibt eine spezifische Schwachstelle in Software, Hardware oder Firmware, die Angreifer ausnutzen könnten, um das System zu kompromittieren.

Das CVE-Programm wurde von der MITRE Corporation ins Leben gerufen, einer von der US-Regierung finanzierten gemeinnützigen Organisation, die sich auf Cybersecurity und Technologie konzentriert. Heute verwaltet MITRE weiterhin das CVE-System unter der Aufsicht des CVE-Boards – einer Gruppe, die Sicherheitsexperten, Anbieter und globale Interessengruppen umfasst. Organisationen, Anbieter, Sicherheitstools und Forscher weltweit nutzen CVE, um Schwachstellen zu verfolgen und Patches zu verwalten.

Warum CVE in der Cybersicherheit wichtig ist

Vor CVE verließen sich Forscher und Organisationen auf separate Namensschemata, was es schwierig machte, Schwachstellen über verschiedene Tools und Berichte hinweg zu verfolgen.

CVE hilft, dieses Problem zu lösen, indem es bietet:

• Konsistente Bezeichner für jede Schwachstelle
• Zentralisierte Sichtbarkeit in die globale Sicherheitsdatenbank
• Einfachere Zusammenarbeit zwischen Anbietern, Forschern und Organisationen, die in der Cybersicherheit tätig sind.

CVE bildet die Grundlage für Sicherheitstools wie Schwachstellenscanner, SCA, ASPM und Patch-Management-Systeme, die auf CVE-IDs angewiesen sind, um Risiken zu erkennen und zu priorisieren.

Wie funktioniert CVE?

Jeder CVE-Eintrag in der Schwachstellendatenbank enthält

• Eine CVE-ID - eine eindeutige Kennung für eine Schwachstelle
• Eine Beschreibung - Erklärung der Schwachstelle
• Referenzen - vertrauenswürdige externe Quellen, die detaillierte Informationen über die Schwachstelle bereitstellen
• Ein CVSS-Score - Schweregradbewertung, eine Bewertung, die angibt, wie ernst oder einflussreich eine Schwachstelle ist, wenn sie ausgenutzt wird.

Alle CVEs werden öffentlich auf cve.org gespeichert und auch in der National Vulnerability Database (NVD) gespiegelt, die vom NIST (National Institute of Standards and Technology) gepflegt wird, einer nicht-regulierenden Behörde des Handelsministeriums der Vereinigten Staaten.

Bekannte vs. Unbekannte Schwachstellen

Bekannte Schwachstellen

Schwachstellen, die Sicherheitsorganisationen und Forscher kennen und für die sie Patches bereitstellen können, um die Schwachstellen zu beheben.

Die bekannten Schwachstellen sind oft bereits in Datenbanken wie CVE oder NVD veröffentlicht.

Beispiel:

CVE-2017-5638 — die Apache Struts Schwachstelle, die beim Equifax-Datenleck (2017) ausgenutzt wurde.

Unbekannte (Zero-Day) Schwachstellen

Dies sind unentdeckte oder nicht offengelegte Schwachstellen; sie existieren in Software, sind aber noch nicht in CVE-Datenbanken dokumentiert.

Angreifer können sie ausnutzen, bevor der Anbieter einen Patch veröffentlicht. Dies ist eine Schwachstelle, die sehr gefährlich ist.

Beispiel:

Eine Browser-Schwachstelle wird von Angreifern genutzt, bevor Google oder Microsoft einen Fix veröffentlicht.

Verwandte Begriffe

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Zero-Day Schwachstelle
• Exploit
• Patch-Management
• Schwachstellenmanagement
• Common Weakness Enumeration (CWE)

FAQ: CVE