Wat is CVE (Common Vulnerabilities and Exposures)?

CVE staat voor Common Vulnerabilities and Exposures. Het is een systeem dat bijhoudt welke cybersecurity-kwetsbaarheden al bekend zijn bij het publiek.

Elk CVE-record heeft zijn eigen ID, zoals CVE-2024-492881, en legt een specifieke zwakte uit in software, hardware of firmware die aanvallers zouden kunnen gebruiken om het systeem uit te buiten.

Het CVE-programma werd gelanceerd door MITRE Corporation, een door de Amerikaanse overheid gefinancierde non-profitorganisatie die zich richt op cybersecurity en technologie. Tegenwoordig beheert MITRE nog steeds het CVE-systeem onder toezicht van de CVE Board—een groep die bestaat uit beveiligingsexperts, leveranciers en wereldwijde belanghebbenden. Organisaties, leveranciers, beveiligingstools en onderzoekers wereldwijd gebruiken CVE om kwetsbaarheden bij te houden en patches te beheren.

Waarom CVE belangrijk is in cybersecurity

Voor CVE vertrouwden onderzoekers en organisaties op afzonderlijke naamgevingsschema’s, wat het moeilijk maakte om kwetsbaarheden bij te houden in verschillende tools en rapporten.

CVE helpt dit probleem op te lossen door het aanbieden van:

• Consistente identificatoren voor elke kwetsbaarheid
• Gecentraliseerde zichtbaarheid in de wereldwijde beveiligingsdatabase
• Eenvoudigere samenwerking tussen leveranciers, onderzoekers en organisaties die betrokken zijn bij cyberbeveiliging.

CVE vormt de basis voor beveiligingstools zoals kwetsbaarheidsscanners, SCA, ASPM en patchbeheer systemen die afhankelijk zijn van CVE-ID’s om risico’s te detecteren en te prioriteren.

Hoe werkt CVE?

Elk CVE-record in de kwetsbaarheidsdatabase bevat

• Een CVE-ID - een unieke identificator voor een kwetsbaarheid
• Een Beschrijving - uitleg van de kwetsbaarheid
• Referenties - vertrouwde externe bronnen die gedetailleerde informatie over de kwetsbaarheid bieden
• Een CVSS-score - ernstbeoordeling, een beoordeling die aangeeft hoe ernstig of impactvol een kwetsbaarheid is als deze wordt uitgebuit.

Alle CVE’s worden openbaar opgeslagen op cve.org, en worden ook gespiegeld in de National Vulnerability Database (NVD) die wordt onderhouden door NIST (National Institute of Standards and Technology), een niet-regulerende instantie van het Amerikaanse Ministerie van Handel.

Bekende versus Onbekende Kwetsbaarheden

Bekende Kwetsbaarheden

Kwetsbaarheden waarvan beveiligingsorganisaties en onderzoekers op de hoogte zijn en waarvoor zij patches kunnen leveren om de kwetsbaarheden aan te pakken.

De bekende kwetsbaarheden zijn vaak al gepubliceerd in databases zoals CVE of NVD.

Voorbeeld:

CVE-2017-5638 — de Apache Struts kwetsbaarheid die werd uitgebuit in de Equifax-inbreuk (2017).

Onbekende (Zero-Day) Kwetsbaarheden

Dit zijn onontdekte of niet openbaar gemaakte gebreken; ze bestaan in software maar zijn nog niet gedocumenteerd in CVE-databases.

Aanvallers kunnen ze uitbuiten voordat de leverancier een patch uitbrengt. Dit is een gebrek dat zeer gevaarlijk is.

Voorbeeld:

Een browserkwetsbaarheid wordt door aanvallers gebruikt voordat Google of Microsoft een oplossing uitbrengt.

Gerelateerde Termen

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Zero-Day Kwetsbaarheid
• Exploit
• Patchbeheer
• Kwetsbaarheidsbeheer
• Common Weakness Enumeration (CWE)

FAQ: CVE