CVE (Các Lỗ Hổng và Phơi Bày Chung) Là Gì?

CVE là viết tắt của Các Lỗ Hổng và Phơi Bày Chung. Đây là một hệ thống theo dõi các lỗ hổng an ninh mạng đã được công chúng biết đến.

Mỗi bản ghi CVE có một ID riêng, như CVE-2024-492881, và giải thích một điểm yếu cụ thể trong phần mềm, phần cứng, hoặc firmware mà kẻ tấn công có thể sử dụng để khai thác hệ thống.

Chương trình CVE được khởi động bởi MITRE Corporation, một tổ chức phi lợi nhuận được tài trợ bởi chính phủ Hoa Kỳ, tập trung vào an ninh mạng và công nghệ. Ngày nay, MITRE tiếp tục quản lý hệ thống CVE dưới sự giám sát của Hội đồng CVE—một nhóm bao gồm các chuyên gia an ninh, nhà cung cấp, và các bên liên quan toàn cầu. Các tổ chức, nhà cung cấp, công cụ an ninh, và các nhà nghiên cứu trên toàn thế giới sử dụng CVE để theo dõi các lỗ hổng và quản lý các bản vá.

Tại Sao CVE Quan Trọng Trong An Ninh Mạng

Trước khi có CVE, các nhà nghiên cứu và tổ chức dựa vào các hệ thống đặt tên riêng biệt, điều này làm cho việc theo dõi các lỗ hổng qua các công cụ và báo cáo khác nhau trở nên khó khăn.

CVE giúp giải quyết vấn đề này bằng cách cung cấp:

• Các định danh nhất quán cho mỗi lỗ hổng
• Tầm nhìn tập trung vào cơ sở dữ liệu an ninh toàn cầu
• Hợp tác dễ dàng hơn giữa các nhà cung cấp, nhà nghiên cứu và tổ chức liên quan đến an ninh mạng.

CVE là nền tảng cho các công cụ an ninh như máy quét lỗ hổng, SCA, ASPM, và các hệ thống quản lý bản vá dựa vào ID CVE để phát hiện và ưu tiên rủi ro.

CVE hoạt động như thế nào?

Mỗi bản ghi CVE trong cơ sở dữ liệu lỗ hổng bao gồm

• Một ID CVE - định danh duy nhất cho một lỗ hổng
• Một Mô tả - giải thích về lỗ hổng
• Tham chiếu - nguồn bên ngoài đáng tin cậy cung cấp thông tin chi tiết về lỗ hổng
• Điểm CVSS - xếp hạng mức độ nghiêm trọng, một xếp hạng cho biết mức độ nghiêm trọng hoặc ảnh hưởng của lỗ hổng nếu bị khai thác.

Tất cả CVE đều được lưu trữ công khai tại cve.org, và cũng được phản chiếu trong Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) do NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia), một cơ quan phi quy định của Bộ Thương mại Hoa Kỳ, duy trì.

Các lỗ hổng đã biết so với chưa biết

Các lỗ hổng đã biết

Các lỗ hổng mà các tổ chức an ninh và các nhà nghiên cứu đã biết và có thể cung cấp các bản vá để giải quyết các lỗ hổng này.

Các lỗ hổng đã biết thường đã được công bố trong các cơ sở dữ liệu như CVE hoặc NVD.

Ví dụ:

CVE-2017-5638 — lỗ hổng Apache Struts bị khai thác trong sự cố Equifax (2017).

Các lỗ hổng chưa biết (Zero-Day)

Đây là những lỗi chưa được phát hiện hoặc chưa được công bố; chúng tồn tại trong phần mềm nhưng chưa được ghi nhận trong các cơ sở dữ liệu CVE.

Kẻ tấn công có thể khai thác chúng trước khi nhà cung cấp phát hành bản vá. Đây là một lỗi rất nguy hiểm.

Ví dụ:

Một lỗ hổng trình duyệt được kẻ tấn công sử dụng trước khi Google hoặc Microsoft phát hành bản sửa lỗi.

Các thuật ngữ liên quan

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Lỗ hổng Zero-Day
• Khai thác
• Quản lý bản vá
• Quản lý lỗ hổng
• Common Weakness Enumeration (CWE)

FAQ: CVE