Hva er CVE (Common Vulnerabilities and Exposures)?
CVE står for Common Vulnerabilities and Exposures. Det er et system som holder oversikt over cybersikkerhetssårbarheter som allerede er kjent for offentligheten.
Hver CVE-post har sin egen ID, som CVE-2024-492881, og forklarer en spesifikk svakhet i programvare, maskinvare eller fastvare som angripere kan bruke til å utnytte systemet.
CVE-programmet ble lansert av MITRE Corporation, en amerikansk føderalt finansiert ideell organisasjon med fokus på cybersikkerhet og teknologi. I dag fortsetter MITRE å administrere CVE-systemet med tilsyn fra CVE-styret—en gruppe som inkluderer sikkerhetseksperter, leverandører og globale interessenter. Organisasjoner, leverandører, sikkerhetsverktøy og forskere over hele verden bruker CVE til å spore sårbarheter og administrere oppdateringer.
Hvorfor CVE er viktig i cybersikkerhet
Før CVE stolte forskere og organisasjoner på separate navnesystemer, noe som gjorde det vanskelig å spore sårbarheter på tvers av forskjellige verktøy og rapporter.
CVE hjelper med å løse dette problemet ved å tilby:
- Konsekvente identifikatorer for hver sårbarhet
- Sentralisert synlighet i den globale sikkerhetsdatabasen
- Enklere samarbeid blant leverandører, forskere og organisasjoner involvert i cybersikkerhet.
CVE danner grunnlaget for sikkerhetsverktøy som sårbarhetsskannere, SCA, ASPM og patchhåndteringssystemer som er avhengige av CVE-IDer for å oppdage og prioritere risikoer.
Hvordan fungerer CVE?
Hver CVE-post i sårbarhetsdatabasen inkluderer
- En CVE-ID - en unik identifikator for en sårbarhet
- En beskrivelse - forklaring av sårbarheten
- Referanser - pålitelige eksterne kilder som gir detaljert informasjon om sårbarheten
- En CVSS-score - alvorlighetsgradsvurdering, en vurdering som forteller deg hvor alvorlig eller hvilken innvirkning en sårbarhet har hvis den blir utnyttet.
Alle CVE-er er lagret offentlig på cve.org, og også speilet i den Nasjonale sårbarhetsdatabasen (NVD) vedlikeholdt av NIST (National Institute of Standards and Technology), som er et ikke-regulerende byrå under USAs handelsdepartement.
Kjente vs. Ukjente Sårbarheter
Kjente Sårbarheter
Sårbarheter som sikkerhetsorganisasjoner og forskere er klar over og kan tilby oppdateringer for å adressere.
De kjente sårbarhetene er ofte allerede publisert i databaser som CVE eller NVD.
Eksempel:
CVE-2017-5638 — Apache Struts-sårbarheten utnyttet i Equifax-bruddet (2017).
Ukjente (Zero-Day) Sårbarheter
Dette er uoppdagede eller ikke avslørte feil; de eksisterer i programvare, men er ennå ikke dokumentert i CVE-databaser.
Angripere kan utnytte dem før leverandøren utgir en oppdatering. Dette er en feil som er svært farlig.
Eksempel:
En nettlesersårbarhet brukes av angripere før Google eller Microsoft utgir en løsning.
Relaterte Termer
- NVD (National Vulnerability Database)
- CVSS (Common Vulnerability Scoring System)
- Zero-Day Sårbarhet
- Utnyttelse
- Oppdateringshåndtering
- Sårbarhetshåndtering
- Common Weakness Enumeration (CWE)
FAQ: CVE
Hva er en CVE-ID?
En CVE-ID er en unik identifikator tildelt en offentlig avslørt sårbarhet (f.eks. CVE-2025-01234).
Hvem vedlikeholder CVE-systemet?
CVE-programmet administreres av MITRE Corporation, med tilsyn fra CVE-styret og finansiering fra amerikanske myndigheter som Department of Homeland Security (DHS) og CISA.
Er alle sårbarheter oppført i CVE?
Nei. Bare offentlig kjente sårbarheter får CVE-IDer. Ukjente sårbarheter eller Zero-day sårbarheter er ennå ikke registrert.
Hvordan forholder CVE og CVSS seg til hverandre?
CVE identifiserer sårbarheten; CVSS (Common Vulnerability Scoring System) måler dens alvorlighetsgrad.