Apa Itu CVE (Common Vulnerabilities and Exposures)?
CVE adalah singkatan dari Common Vulnerabilities and Exposures. Ini adalah sistem yang melacak kerentanan keamanan siber yang sudah diketahui publik.
Setiap catatan CVE memiliki ID sendiri, seperti CVE-2024-492881, dan menjelaskan kelemahan spesifik dalam perangkat lunak, perangkat keras, atau firmware yang dapat digunakan penyerang untuk mengeksploitasi sistem.
Program CVE diluncurkan oleh MITRE Corporation, sebuah organisasi nirlaba yang didanai oleh pemerintah AS yang berfokus pada keamanan siber dan teknologi. Saat ini, MITRE terus mengelola sistem CVE dengan pengawasan dari Dewan CVE—sebuah kelompok yang terdiri dari pakar keamanan, vendor, dan pemangku kepentingan global. Organisasi, vendor, alat keamanan, dan peneliti di seluruh dunia menggunakan CVE untuk melacak kerentanan dan mengelola tambalan.
Mengapa CVE Penting dalam Keamanan Siber
Sebelum CVE, peneliti dan organisasi mengandalkan skema penamaan terpisah, yang membuat sulit untuk melacak kerentanan di berbagai alat dan laporan.
CVE membantu menyelesaikan masalah ini dengan menawarkan:
- Pengidentifikasi konsisten untuk setiap kerentanan
- Visibilitas terpusat ke dalam basis data keamanan global
- Kolaborasi lebih mudah di antara vendor, peneliti, dan organisasi yang terlibat dalam keamanan siber.
CVE membentuk dasar untuk alat keamanan seperti pemindai kerentanan, SCA, ASPM, dan sistem manajemen patch yang bergantung pada ID CVE untuk mendeteksi dan memprioritaskan risiko.
Bagaimana CVE bekerja?
Setiap catatan CVE dalam basis data kerentanan mencakup
- ID CVE - pengidentifikasi unik untuk sebuah kerentanan
- Deskripsi - penjelasan tentang kerentanan
- Referensi - sumber eksternal terpercaya yang menyediakan informasi rinci tentang kerentanan
- Skor CVSS - penilaian tingkat keparahan, penilaian yang memberi tahu Anda seberapa serius atau dampak dari sebuah kerentanan jika dieksploitasi.
Semua CVE disimpan secara publik di cve.org, dan juga dicerminkan dalam National Vulnerability Database (NVD) yang dikelola oleh NIST (National Institute of Standards and Technology), yang merupakan lembaga non-regulasi dari Departemen Perdagangan Amerika Serikat.
Dikenal vs. Kerentanan Tidak Dikenal
Kerentanan Dikenal
Kerentanan yang diketahui oleh organisasi keamanan dan peneliti, serta dapat diberikan patch untuk mengatasi kerentanan tersebut.
Kerentanan yang dikenal sering kali sudah dipublikasikan dalam basis data seperti CVE atau NVD.
Contoh:
CVE-2017-5638 — kerentanan Apache Struts yang dieksploitasi dalam pelanggaran Equifax (2017).
Kerentanan Tidak Dikenal (Zero-Day)
Ini adalah cacat yang belum ditemukan atau belum diungkapkan; mereka ada dalam perangkat lunak tetapi belum didokumentasikan dalam basis data CVE.
Penyerang dapat mengeksploitasi mereka sebelum vendor merilis patch. Ini adalah cacat yang sangat berbahaya.
Contoh:
Kerentanan browser digunakan oleh penyerang sebelum Google atau Microsoft merilis perbaikan.
Istilah Terkait
- NVD (National Vulnerability Database)
- CVSS (Common Vulnerability Scoring System)
- Kerentanan Zero-Day
- Eksploitasi
- Manajemen Patch
- Manajemen Kerentanan
- Common Weakness Enumeration (CWE)
FAQ: CVE
Apa itu ID CVE?
ID CVE adalah pengidentifikasi unik yang diberikan untuk kerentanan yang diungkapkan secara publik (misalnya, CVE-2025-01234).
Siapa yang memelihara sistem CVE?
Program CVE dikelola oleh MITRE Corporation, dengan pengawasan dari Dewan CVE dan pendanaan oleh lembaga pemerintah AS seperti Departemen Keamanan Dalam Negeri (DHS) dan CISA.
Apakah semua kerentanan terdaftar di CVE?
Tidak. Hanya kerentanan yang diketahui publik yang mendapatkan ID CVE. Kerentanan yang tidak diketahui atau kerentanan Zero-day belum terdaftar.
Bagaimana hubungan antara CVE dan CVSS?
CVE mengidentifikasi kerentanan; CVSS (Common Vulnerability Scoring System) mengukur tingkat keparahannya.