Che cos’è CVE (Common Vulnerabilities and Exposures)?

CVE sta per Common Vulnerabilities and Exposures. È un sistema che tiene traccia delle vulnerabilità informatiche già note al pubblico.

Ogni record CVE ha il proprio ID, come CVE-2024-492881, e spiega una specifica debolezza nel software, hardware o firmware che gli attaccanti potrebbero utilizzare per sfruttare il sistema.

Il Programma CVE è stato lanciato dalla MITRE Corporation, un’organizzazione no-profit finanziata dal governo degli Stati Uniti, focalizzata sulla sicurezza informatica e la tecnologia. Oggi, MITRE continua a gestire il sistema CVE con la supervisione del CVE Board—un gruppo che include esperti di sicurezza, fornitori e stakeholder globali. Organizzazioni, fornitori, strumenti di sicurezza e ricercatori di tutto il mondo utilizzano CVE per tracciare le vulnerabilità e gestire le patch.

Perché CVE è importante nella sicurezza informatica

Prima di CVE, i ricercatori e le organizzazioni si affidavano a schemi di denominazione separati, il che rendeva difficile tracciare le vulnerabilità attraverso diversi strumenti e rapporti.

CVE aiuta a risolvere questo problema offrendo:

• Identificatori coerenti per ogni vulnerabilità
• Visibilità centralizzata nel database di sicurezza globale
• Collaborazione più facile tra fornitori, ricercatori e organizzazioni coinvolte nella cybersecurity.

CVE costituisce la base per strumenti di sicurezza come scanner di vulnerabilità, SCA, ASPM e sistemi di gestione delle patch che si affidano agli ID CVE per rilevare e dare priorità ai rischi.

Come funziona CVE?

Ogni record CVE nel database delle vulnerabilità include

• Un ID CVE - un identificatore univoco per una vulnerabilità
• Una Descrizione - spiegazione della vulnerabilità
• Riferimenti - fonti esterne affidabili che forniscono informazioni dettagliate sulla vulnerabilità
• Un punteggio CVSS - valutazione della gravità, una valutazione che indica quanto seria o impattante sia una vulnerabilità se sfruttata.

Tutti i CVE sono archiviati pubblicamente su cve.org, e anche replicati nel National Vulnerability Database (NVD) mantenuto da NIST (National Institute of Standards and Technology), che è un’agenzia non regolatoria del Dipartimento del Commercio degli Stati Uniti.

Vulnerabilità Conosciute vs. Sconosciute

Vulnerabilità Conosciute

Vulnerabilità di cui le organizzazioni di sicurezza e i ricercatori sono a conoscenza e per le quali possono fornire patch per affrontarle.

Le vulnerabilità conosciute sono spesso già pubblicate in database come CVE o NVD.

Esempio:

CVE-2017-5638 — la vulnerabilità di Apache Struts sfruttata nella violazione di Equifax (2017).

Vulnerabilità Sconosciute (Zero-Day)

Queste sono falle non scoperte o non divulgate; esistono nel software ma non sono ancora documentate nei database CVE.

Gli aggressori possono sfruttarle prima che il fornitore rilasci una patch. Questa è una falla molto pericolosa.

Esempio:

Una vulnerabilità del browser viene utilizzata dagli aggressori prima che Google o Microsoft rilascino una correzione.

Termini Correlati

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Vulnerabilità Zero-Day
• Exploit
• Gestione delle Patch
• Gestione delle Vulnerabilità
• Common Weakness Enumeration (CWE)

FAQ: CVE