En el desafiante mundo de la informática, se han producido continuos avances en el desarrollo de herramientas y servicios tanto para comprometer como para proteger las computadoras interconectadas a las grandes redes de datos.
El reciente crecimiento en el número y la calidad de las soluciones de ciberseguridad es un indicador de la necesidad percibida de disponer de más medios para proteger los sistemas informáticos de las amenazas. El uso eficaz de estas herramientas implica determinar los objetivos de intercambio, interpretación y correlación de una gran cantidad de información sobre vulnerabilidades informáticas. No obstante muchas veces dichos objetivos son muy difíciles de alcanzar.
Por lo tanto, en el día de hoy mis estimados lectores, les hablaré acerca de una herramienta clave en esta lucha, la cual sin dudas es la lista de Vulnerabilidades y Exposiciones Comunes (CVE, según acrónimo en idioma inglés), un recurso esencial para identificar y mitigar amenazas en el mundo digital.
El programa CVE, lanzado en 1999 por la corporación MITRE, proporciona un diccionario de vulnerabilidades y exposiciones de seguridad de la información. Cada entrada en la lista CVE incluye un número de identificación único (CVE-ID), una descripción de la vulnerabilidad, las versiones de software afectadas y posibles soluciones para mitigar la amenaza.
Según se publica en su portal web oficial, la misión de este programa desde sus inicios siempre ha sido identificar, definir y catalogar las vulnerabilidades de ciberseguridad divulgadas públicamente. Hay un registro CVE por cada vulnerabilidad del catálogo. Las vulnerabilidades son descubiertas, asignadas y publicadas por organizaciones de todo el mundo que se han asociado al mismo. Los socios publican estos registros para comunicar descripciones coherentes de las vulnerabilidades. Los profesionales de las tecnologías de la información y la ciberseguridad utilizan estos para asegurarse de que están hablando del mismo tema y para coordinar sus esfuerzos para priorizar y abordar las vulnerabilidades.
Antes de continuar sería preciso definir qué entendemos por vulnerabilidad y exposición en este contexto. Una vulnerabilidad es una debilidad en el software que puede ser explotada por atacantes para obtener acceso no autorizado a sistemas informáticos. Esto puede permitir la ejecución de código malicioso, el acceso a la memoria del sistema, la instalación de programas malignos y la modificación o robo de datos confidenciales. Por otra parte una exposición es un error en el código o la configuración del software que permite a un atacante obtener acceso indirecto a sistemas y redes. Esto puede resultar en la recopilación de datos sensibles, credenciales de usuario e información de clientes.
No obstante nuestro conocido Decreto No. 360/2019 establece en su artículo 9 que una vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser dañada su seguridad; representa los aspectos falibles o atacables en el sistema informático y califica el nivel de riesgo de un sistema. Teniendo en cuenta lo anterior, este autor considera que el Programa CVE constituye un gran esfuerzo internacional que mantiene un registro de datos abiertos y actualizados sobre las vulnerabilidades de ciberseguridad conocidas públicamente. Esto permite a las organizaciones identificar y categorizar las vulnerabilidades en software y firmware, facilitando la comunicación y el intercambio de información sobre las principales amenazas de seguridad existentes.
El concepto original de lo que se convertiría en la Lista CVE fue presentado por los cocreadores de CVE, David E. Mann y Steven M. Christey, en un artículo titulado Towards a Common Enumeration of Vulnerabilities (Hacia una enumeración común de vulnerabilidades), en el 2º Taller sobre investigación con bases de datos de vulnerabilidades de seguridad, celebrado durante los días 21 y 22 de enero de 1999 en la Universidad Purdue de West Lafayette, Indiana, EE.UU. A partir de ese concepto original, se formó un grupo de trabajo (que más tarde se convertiría en el Consejo Editorial de CVE inicial de 19 miembros), y se crearon los 321 Registros CVE originales. La Lista CVE se lanzó oficialmente al público en el mes de septiembre del mismo año.
Rápidamente la comunidad de la ciberseguridad refrendó su importancia mediante el desarrollo de productos y servicios interoperables con la información que se publicaba en dicha lista, pero no fue hasta doce años después que el Grupo de Relator de Ciberseguridad de la Unión Internacional de Telecomunicaciones, adoptó a CVE como parte de sus nuevas técnicas de intercambio de información sobre ciberseguridad global. A partir de ese momento su evolución y expansión fueron en total ascenso hasta nuestros días, según se puede apreciar en la siguiente figura.
Entre sus principales ventajas se encuentran:
- Interoperabilidad: Los identificadores comunes de CVE permiten el intercambio de datos entre productos de seguridad.
- Mejora de la seguridad: Ayuda a las organizaciones a mejorar su postura de seguridad al identificar y corregir vulnerabilidades.
- Comunicación uniforme: Proporciona un lenguaje común para discutir y gestionar vulnerabilidades.
Cada entrada en la lista CVE incluye un número de identificación único (CVE-ID), una descripción de la vulnerabilidad, las versiones de software afectadas y posibles soluciones o configuraciones para mitigar la vulnerabilidad. Entre algunos de los ejemplos más famosos se encuentran:
- CVE-2017-0144 (EternalBlue): Esta vulnerabilidad en el protocolo SMB de Windows fue explotada por el ransomware WannaCry en 2017. EternalBlue permitió a los atacantes ejecutar código malicioso de forma remota, afectando a cientos de miles de computadoras en todo el mundo.
- CVE-2021-44228 (Log4Shell): Descubierta en 2021, esta vulnerabilidad en la biblioteca de registro Log4j de Apache permitió a los atacantes ejecutar código arbitrario en servidores afectados. Fue ampliamente explotada debido a la popularidad de Log4j en aplicaciones y servicios web.
- CVE-2023-38831 (WinRAR): Esta vulnerabilidad en WinRAR fue explotada por varios grupos de espionaje y criminales para distribuir malware. Se convirtió en una de las vulnerabilidades más explotadas del año.
- CVE-2023-21716 (Microsoft Word): Una vulnerabilidad crítica en Microsoft Word que permitía la ejecución remota de código. Fue ampliamente explotada en ataques dirigidos.
El proceso de asignación de un CVE consiste generalmente en los siguientes pasos:
- Identificación de la Vulnerabilidad: Una vulnerabilidad es descubierta por investigadores de seguridad, desarrolladores de software, o incluso usuarios finales.
- Solicitud de un CVE-ID: El descubridor de la vulnerabilidad contacta a una Autoridad de Numeración CVE (CNA, por sus siglas en inglés). Las CNA son organizaciones autorizadas por MITRE para asignar los CVE-ID, incluyen por lo general a grandes empresas de tecnología, organizaciones de seguridad y equipos de respuesta a incidentes.
- Evaluación de la Vulnerabilidad: La CNA evalúa la vulnerabilidad para asegurarse de que cumple con los criterios de inclusión en la lista CVE. Esto incluye verificar que la vulnerabilidad sea única y que tenga un impacto significativo en la seguridad.
- Asignación del CVE-ID: Si la vulnerabilidad cumple con los criterios, la CNA asigna un CVE-ID único a la vulnerabilidad. Este identificador se utiliza para referirse a la vulnerabilidad en todas las comunicaciones futuras.
- Publicación de la Información: La información sobre la vulnerabilidad, incluyendo el CVE-ID, una descripción detallada, y las versiones de software afectadas, se publica en la base de datos CVE. Esta información es accesible públicamente y se utiliza para coordinar la respuesta a la vulnerabilidad.
- Desarrollo y Distribución de Parches: Los proveedores de software utilizan la información del CVE para desarrollar y distribuir parches de seguridad que corrigen la vulnerabilidad. Los usuarios finales son notificados para que actualicen sus sistemas y protejan sus datos.
Este repositorio, que recién cumplió un cuarto de siglo, es una herramienta invaluable en la lucha contra las amenazas presentes en el ciberespacio. Al proporcionar un marco común para identificar y comunicar vulnerabilidades, CVE ayuda a mejorar la seguridad de la información a nivel global. En un entorno digital en constante evolución, la colaboración y el intercambio de información son esenciales para proteger nuestros datos y sistemas.
Información de Cubadebate
