CVE (Ortak Güvenlik Açıkları ve Maruziyetler) Nedir?

CVE, Ortak Güvenlik Açıkları ve Maruziyetler anlamına gelir. Halka açık olarak bilinen siber güvenlik açıklarını takip eden bir sistemdir.

Her CVE kaydının kendi kimliği vardır, örneğin CVE-2024-492881, ve saldırganların sistemi istismar etmek için kullanabileceği yazılım, donanım veya ürün yazılımındaki belirli bir zayıflığı açıklar.

CVE Programı, siber güvenlik ve teknolojiye odaklanan, ABD tarafından finanse edilen kar amacı gütmeyen bir kuruluş olan MITRE Corporation tarafından başlatıldı. Bugün, MITRE, güvenlik uzmanları, satıcılar ve küresel paydaşları içeren bir grup olan CVE Kurulu’nun gözetimi altında CVE sistemini yönetmeye devam etmektedir. Dünya çapındaki kuruluşlar, satıcılar, güvenlik araçları ve araştırmacılar, güvenlik açıklarını takip etmek ve yamaları yönetmek için CVE’yi kullanmaktadır.

Siber Güvenlikte CVE’nin Önemi

CVE’den önce, araştırmacılar ve kuruluşlar farklı araçlar ve raporlar arasında güvenlik açıklarını takip etmeyi zorlaştıran ayrı adlandırma şemalarına güveniyordu.

CVE, şu avantajları sunarak bu sorunu çözmeye yardımcı olur:

• Her bir güvenlik açığı için tutarlı tanımlayıcılar
• Küresel güvenlik veritabanına merkezi görünürlük
• Siber güvenlikle ilgili satıcılar, araştırmacılar ve kuruluşlar arasında daha kolay işbirliği.

CVE, güvenlik araçları için temel oluşturur; güvenlik açığı tarayıcıları, SCA, ASPM ve CVE kimliklerine dayanarak riskleri tespit eden ve önceliklendiren yama yönetim sistemleri gibi.

CVE nasıl çalışır?

Güvenlik açığı veritabanındaki her CVE kaydı şunları içerir:

• Bir CVE Kimliği - bir güvenlik açığı için benzersiz bir tanımlayıcı
• Bir Açıklama - güvenlik açığının açıklaması
• Referanslar - güvenlik açığı hakkında detaylı bilgi sağlayan güvenilir dış kaynaklar
• Bir CVSS Skoru - ciddiyet derecelendirmesi, bir güvenlik açığının istismar edilmesi durumunda ne kadar ciddi veya etkili olduğunu gösteren bir derecelendirme.

Tüm CVE’ler cve.org adresinde kamuya açık olarak saklanır ve ayrıca NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından sürdürülen Ulusal Güvenlik Açığı Veritabanı (NVD)‘de yansıtılır, bu kurum Amerika Birleşik Devletleri Ticaret Bakanlığı’nın düzenleyici olmayan bir ajansıdır.

Bilinen ve Bilinmeyen Güvenlik Açıkları

Bilinen Güvenlik Açıkları

Güvenlik kuruluşlarının ve araştırmacıların farkında olduğu ve güvenlik açıklarını gidermek için yamalar sağlayabileceği açıklar.

Bilinen güvenlik açıkları genellikle CVE veya NVD gibi veritabanlarında zaten yayınlanmıştır.

Örnek:

CVE-2017-5638 — Equifax ihlali (2017) sırasında istismar edilen Apache Struts güvenlik açığı.

Bilinmeyen (Sıfır Gün) Güvenlik Açıkları

Bunlar keşfedilmemiş veya açıklanmamış kusurlardır; yazılımda mevcuttur ancak henüz CVE veritabanlarında belgelenmemiştir.

Saldırganlar, satıcı bir yama yayınlamadan önce bunları istismar edebilir. Bu, çok tehlikeli bir kusurdur.

Örnek:

Google veya Microsoft bir düzeltme yayınlamadan önce saldırganlar tarafından kullanılan bir tarayıcı güvenlik açığı.

İlgili Terimler

• NVD (Ulusal Güvenlik Açığı Veritabanı)
• CVSS (Ortak Güvenlik Açığı Puanlama Sistemi)
• Sıfır Gün Güvenlik Açığı
• İstismar
• Yama Yönetimi
• Güvenlik Açığı Yönetimi
• Ortak Zayıflık Sınıflandırması (CWE)

SSS: CVE