En el desafiante mundo de la inform谩tica, se han producido聽continuos avances en el desarrollo de herramientas y servicios聽tanto para comprometer como para proteger las computadoras interconectadas a las grandes redes de datos.
El reciente crecimiento en el n煤mero y la calidad de las soluciones de ciberseguridad es un indicador de la necesidad percibida de disponer de m谩s medios para proteger los sistemas inform谩ticos de las amenazas. El uso eficaz de estas herramientas implica determinar los objetivos de intercambio, interpretaci贸n y correlaci贸n de una gran cantidad de informaci贸n sobre vulnerabilidades inform谩ticas. No obstante muchas veces dichos objetivos son muy dif铆ciles de alcanzar.
Por lo tanto, en el d铆a de hoy mis estimados lectores,聽les hablar茅 acerca de una herramienta clave en esta lucha, la cual sin dudas es la lista de Vulnerabilidades y Exposiciones Comunes (CVE, seg煤n acr贸nimo en idioma ingl茅s), un recurso esencial para identificar y mitigar amenazas en el mundo digital.
El programa CVE, lanzado en 1999 por la corporaci贸n MITRE, proporciona un聽diccionario de vulnerabilidades y exposiciones de seguridad de la informaci贸n.聽Cada entrada en la lista CVE incluye un n煤mero de identificaci贸n 煤nico (CVE-ID), una descripci贸n de la vulnerabilidad, las versiones de software afectadas y posibles soluciones para mitigar la amenaza.
Seg煤n se publica en su portal web oficial, la misi贸n de este programa desde sus inicios siempre ha sido identificar, definir y catalogar las vulnerabilidades de ciberseguridad divulgadas p煤blicamente. Hay un registro CVE por cada vulnerabilidad del cat谩logo. Las vulnerabilidades son聽descubiertas, asignadas y publicadas por organizaciones de todo el mundo聽que se han asociado al mismo. Los socios publican estos registros para comunicar descripciones coherentes de las vulnerabilidades. Los profesionales de las tecnolog铆as de la informaci贸n y la ciberseguridad utilizan estos para asegurarse de que est谩n hablando del mismo tema y para coordinar sus esfuerzos para priorizar y abordar las vulnerabilidades.
Antes de continuar ser铆a preciso definir qu茅 entendemos por vulnerabilidad y exposici贸n en este contexto. Una vulnerabilidad es una debilidad en el software que puede ser explotada por atacantes para obtener acceso no autorizado a sistemas inform谩ticos. Esto puede permitir la ejecuci贸n de c贸digo malicioso, el acceso a la memoria del sistema, la instalaci贸n de programas malignos y la modificaci贸n o robo de datos confidenciales. Por otra parte una exposici贸n es un error en el c贸digo o la configuraci贸n del software que permite a un atacante obtener acceso indirecto a sistemas y redes. Esto puede resultar en la recopilaci贸n de datos sensibles, credenciales de usuario e informaci贸n de clientes.
No obstante聽nuestro conocido Decreto No. 360/2019 establece en su art铆culo 9 que una vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser da帽ada su seguridad; representa los aspectos falibles o atacables en el sistema inform谩tico y califica el nivel de riesgo de un sistema.聽Teniendo en cuenta lo anterior, este autor considera que el Programa CVE constituye un gran esfuerzo internacional que mantiene un registro de datos abiertos y actualizados sobre las聽 vulnerabilidades de ciberseguridad conocidas p煤blicamente. Esto permite a las organizaciones identificar y categorizar las vulnerabilidades en software y firmware, facilitando la comunicaci贸n y el intercambio de informaci贸n sobre las principales amenazas de seguridad existentes.
El concepto original de lo que se convertir铆a en la Lista CVE fue presentado por los cocreadores de CVE, David E. Mann y Steven M. Christey, en un art铆culo titulado Towards a Common Enumeration of Vulnerabilities (Hacia una enumeraci贸n com煤n de vulnerabilidades), en el 2潞 Taller sobre investigaci贸n con bases de datos de vulnerabilidades de seguridad, celebrado durante los d铆as 21 y 22 de enero de 1999 en la Universidad Purdue de West Lafayette, Indiana, EE.UU. A partir de ese concepto original, se form贸 un grupo de trabajo (que m谩s tarde se convertir铆a en el Consejo Editorial de CVE inicial de 19 miembros), y se crearon los 321 Registros CVE originales. La Lista CVE se lanz贸 oficialmente al p煤blico en el mes de septiembre del mismo a帽o.
R谩pidamente la comunidad de la ciberseguridad refrend贸 su importancia mediante el desarrollo de productos y servicios interoperables con la informaci贸n que se publicaba en dicha lista, pero no fue hasta doce a帽os despu茅s que el Grupo de Relator de Ciberseguridad de la Uni贸n Internacional de Telecomunicaciones, adopt贸 a CVE como parte de sus nuevas t茅cnicas de intercambio de informaci贸n sobre ciberseguridad global. A partir de ese momento su evoluci贸n y expansi贸n fueron en total ascenso hasta nuestros d铆as, seg煤n se puede apreciar en la siguiente figura.
Entre sus principales ventajas se encuentran:
- Interoperabilidad: Los identificadores comunes de CVE permiten el intercambio de datos entre productos de seguridad.
- Mejora de la seguridad: Ayuda a las organizaciones a mejorar su postura de seguridad al identificar y corregir vulnerabilidades.
- Comunicaci贸n uniforme: Proporciona un lenguaje com煤n para discutir y gestionar vulnerabilidades.
Cada entrada en la lista CVE incluye un n煤mero de identificaci贸n 煤nico (CVE-ID), una descripci贸n de la vulnerabilidad, las versiones de software afectadas y posibles soluciones o configuraciones para mitigar la vulnerabilidad. Entre algunos de los ejemplos m谩s famosos se encuentran:
- CVE-2017-0144 (EternalBlue): Esta vulnerabilidad en el protocolo SMB de Windows fue explotada por el ransomware WannaCry en 2017. EternalBlue permiti贸 a los atacantes ejecutar c贸digo malicioso de forma remota, afectando a cientos de miles de computadoras en todo el mundo.
- CVE-2021-44228 (Log4Shell): Descubierta en 2021, esta vulnerabilidad en la biblioteca de registro Log4j de Apache permiti贸 a los atacantes ejecutar c贸digo arbitrario en servidores afectados. Fue ampliamente explotada debido a la popularidad de Log4j en aplicaciones y servicios web.
- CVE-2023-38831 (WinRAR): Esta vulnerabilidad en WinRAR fue explotada por varios grupos de espionaje y criminales para distribuir malware. Se convirti贸 en una de las vulnerabilidades m谩s explotadas del a帽o.
- CVE-2023-21716 (Microsoft Word): Una vulnerabilidad cr铆tica en Microsoft Word que permit铆a la ejecuci贸n remota de c贸digo. Fue ampliamente explotada en ataques dirigidos.
El proceso de asignaci贸n de un CVE聽consiste generalmente en los siguientes pasos:
- Identificaci贸n de la Vulnerabilidad: Una vulnerabilidad es descubierta por investigadores de seguridad, desarrolladores de software, o incluso usuarios finales.
- Solicitud de un CVE-ID: El descubridor de la vulnerabilidad contacta a una Autoridad de Numeraci贸n CVE (CNA, por sus siglas en ingl茅s). Las CNA son organizaciones autorizadas por MITRE para asignar los CVE-ID, incluyen por lo general a grandes empresas de tecnolog铆a, organizaciones de seguridad y equipos de respuesta a incidentes.
- Evaluaci贸n de la Vulnerabilidad: La CNA eval煤a la vulnerabilidad para asegurarse de que cumple con los criterios de inclusi贸n en la lista CVE. Esto incluye verificar que la vulnerabilidad sea 煤nica y que tenga un impacto significativo en la seguridad.
- Asignaci贸n del CVE-ID: Si la vulnerabilidad cumple con los criterios, la CNA asigna un CVE-ID 煤nico a la vulnerabilidad. Este identificador se utiliza para referirse a la vulnerabilidad en todas las comunicaciones futuras.
- Publicaci贸n de la Informaci贸n: La informaci贸n sobre la vulnerabilidad, incluyendo el CVE-ID, una descripci贸n detallada, y las versiones de software afectadas, se publica en la base de datos CVE. Esta informaci贸n es accesible p煤blicamente y se utiliza para coordinar la respuesta a la vulnerabilidad.
- Desarrollo y Distribuci贸n de Parches: Los proveedores de software utilizan la informaci贸n del CVE para desarrollar y distribuir parches de seguridad que corrigen la vulnerabilidad. Los usuarios finales son notificados para que actualicen sus sistemas y protejan sus datos.
Este repositorio, que reci茅n cumpli贸 un cuarto de siglo, es una herramienta invaluable en la lucha contra las amenazas presentes en el ciberespacio. Al proporcionar un marco com煤n para identificar y comunicar vulnerabilidades, CVE ayuda a mejorar la seguridad de la informaci贸n a nivel global. En un entorno digital en constante evoluci贸n,聽la colaboraci贸n y el intercambio de informaci贸n son esenciales para proteger nuestros datos y sistemas.
Informaci贸n de Cubadebate