CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

CVE system

11 min læstSikkerhed

Hver sikkerhedssårbarhed, du hører om - Heartbleed, Log4Shell, Spectre - har et CVE-nummer. Common Vulnerabilities and Exposures-systemet er den globale navnekonvention til sporing af softwarefejl. At forstå, hvad CVE'er er, hvordan scoring fungerer, og hvor systemet i øjeblikket kæmper, afklarer, hvorfor nogle sårbarheder får den opmærksomhed, de får.

Hele artiklens krop findes på engelsk nedenfor.

CVE (Common Vulnerabilities and Exposures) er det standardiserede system til navngivning og sporing af offentligt offentliggjorte softwaresårbarheder. Hver post får en unik identifikator som CVE-2023-12345 (år + sekvensnummer), der lader forskere, leverandører og værktøjer henvise til specifikke fejl entydigt på tværs af branchen.

Sådan fungerer systemet

MiTER Corporation driver CVE-programmet med finansiering fra US Cybersecurity Agency (CISA Infrastructure Security Agency). Den grundlæggende flow:

  1. A-sårbarhed er fundet.
  2. Opdageren rapporterer til den berørte leverandør (eller til en CVE-nummereringsmyndighed — CNA).
  3. CNAen tildeler et CVE-id.
  4. Opdageren rapporterer til den berørte leverandør (eller til en CVE-nummereringsmyndighed — CNA).
  5. CNA'en tildeler et CVE-id.
  6. Opdageren er i første omgang markeret som id'et, men "reserveret' sårbarhed" public.
  7. Når sårbarheden afsløres (patch tilgængelig, eller en eller anden deadline udløber), er posten udfyldt med beskrivelse og referencer.
  8. Opslaget offentliggøres til MITER CVE-listen, og National Vulnerability Database (NVD) vedligeholdes af NIST.ZPL2X2s nummeret på CPLZ22X2. vokset dramatisk — fra ~6.000/år i 2015 til 25.000+/år i 2024.

    CNA'er: hvem kan tildele CVE ID'er

    CVE Nummereringsmyndigheder er organisationer, der er godkendt til at tildele CVE-id'er. Eksempler:

    • Større leverandører — Microsoft, Apple, Google, Oracle, Cisco, Red Hat — hver tildeler CVE'er til deres egne produkter.
    • Open-source koordinatorer — Apache Software Foundation, GitHub Security Lab.
    • Industry-specifikke —CERT for industriel kontrol systems.
    • Regional — JPCERT/CC for Japan, BSI for Tyskland.
    • MITRE selv for sårbarheder, der ikke er dækket af nogen specifik CNA.

    T, der er omkring 350+ CNA'er i 2026. Systemet er decentraliseret. ikke alle CVE gennemgår den samme gennemgang.

    CVSS scoring

    Common Vulnerability Scoring System (CVSS) giver en 0-10 numerisk alvorlighedsscore baseret på:

      XPL5Vector2XZXXLXVektor Netværk —Vektor Netværk, lokalt, fysisk
    • Angrebskompleksitet — Lav eller Høj
    • Privilegier påkrævet — Ingen, Lav, Høj
    • Brugerinteraktion —XPLZ5,6 Påkrævet
    • Scope — Uændret eller ændret (påvirker udnyttelse en anden sikkerhedsmyndighed)
    • Fortroligheds-/integritets-/tilgængelighedspåvirkning — Ingen, lav, høj for hver XPL-vektorstreng for hver XPLZ-vektorstreng. (f.eks. CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). Det endelige resultat kategoriserer:

      • 0.0 — Ingen
      • 0.1-3.9 — Lav
      • 4.0-6.9 — Medium
      • 7.0-8.9 — Høj
      • 09. Critical

      CVSS 4.0 (udgivet 2023) forfiner metrikkerne. Mange værktøjer bruger stadig 3.1.

      Hvad CVSS ikke fanger

      Scoren afspejler ikke:

      • Hvor bredt udbredt den berørte software er
      • Hvorvidt offentlige udnyttelser eksisterer,hvorvidt den aktive sårbarhed erXPLZ101010 udnyttet
      • Den specifikke forretningspåvirkning for enhver organisation

      For prioritering er CVSS udgangspunktet, men ikke tilstrækkeligt. CISA's Known Exploited Vulnerabilities (KEV)-katalog identificerer CVE'er, der udnyttes aktivt - en mere handlingsvenlig liste end "alle kritiske CVE'er." aftaget dramatisk i begyndelsen af 2024 på grund af budget- og personaleproblemer. Efterslæb af uanalyserede CVE'er voksede til tusindvis; downstream-værktøjer og patch-styringssystemer, der er afhængige af NVD-berigelse, brød ud.

      Krisen medførte flere reaktioner: CVE.org udvidede sin egen rolle, Vulnrichment-projektet forsøgte at tilføje den manglende analyse, og forskellige organisationer oprettede alternative databaser. Situationen er delvist genoprettet, men afsløret skrøbeligheden af ​​den centrale infrastruktur.

      Berømte CVE-numre

      • CVE-2014-0160 — Heartbleed. OpenSSL memory disclosure.
      • CVE-2017-0144 — EternalBlue / WannaCry brugt i Microsoft SMB massesårbarhed. ransomware.
      • CVE-2021-44228 — Log4Shell. Log4j JNDI-injektion. Masseudnyttelse; CVSS 10.
      • CVE-2014-6271 — Shellshock. Parsing af bash-miljøvariabel.
      • CVE-2023-23397 — Microsoft Outlook NTLM-udnyttelse af legitimationsoplysninger læk20X trussel ActiveXPLZ ActiveXPLZ. actors.
      • CVE-2024-3094 — XZ Udils backdoor. 2024-det flerårige social-engineering supply-chain-angreb.

      Hvad CVE'er betyder for dig

      • 28ForXXPLZ, antal brugere i:

      • Patch-noter til dit OS, apps, browser
      • Nyheder om store sårbarheder
      • Sikkerhedsråd fra leverandører

      Den praktiske takeaway: når du har opdateringer om dine relevante nyheder, har du hørt om din CVE-opdatering. "Opdatering tilgængelig" er det universelle svar for de fleste brugere; en dybere undersøgelse er for dem, der er ansvarlige for flådestyring.

      For udviklere og sikkerhedsteams er CVE-sporing, KEV-bevidst prioritering og SBOM-drevet eksponeringsvurdering en del af standarddrift nu.

Ofte stillede spørgsmål

Får enhver sårbarhed en CVE?
De fleste offentligt offentliggjorte sårbarheder får CVE'er, især dem i udbredt software. Sårbarheder i tilpassede applikationer, interne systemer og fejl, der bliver rettet før enhver afsløring, får ofte ikke CVE'er. Systemet dækker størstedelen af ​​det, der får offentlighedens opmærksomhed.
Hvad er forskellen mellem MITER og NVD?
MITER (CVE.org) vedligeholder CVE-listen — identifikatortildeling og grundlæggende beskrivelse. NVD tilføjer analyse: CVSS-scoring, kortlægning af påvirkede produkter (CPE'er), referencer. Begge er offentlige; værktøjer bruger ofte begge dele.
Kan en høj CVSS-score altid handles?
Ikke nødvendigvis. En CVSS 10 i en software, du ikke bruger, er irrelevant for dig. En CVSS 5, der bliver aktivt udnyttet, er mere presserende end en CVSS 9 uden kendt udnyttelse. CISA's KEV-katalog kombinerer alvor med udnyttelse af virkeligheden for bedre prioritering.
Hvorfor er nogle CVE'er reserveret uden detaljer?
Reserveret status betyder, at ID'et er blevet tildelt, men sårbarheden er endnu ikke offentliggjort. Leverandører reserverer ID'er for at diskutere sårbarheder internt i patchudviklingsperioden, og udfyld derefter posten, når afsløring sker.
Hvordan finder jeg CVE'er, der påvirker min software?
Leverandørsikkerhedsrådgivning viser relevante CVE'er. NVD-søgningen på nvd.nist.gov søger efter leverandør/produkt. Værktøjer som Snyk, GitHub Dependabot og OS-pakkeadministratorer udfører automatisk afhængighedsbaseret CVE-sporing.
CVE-systemet forklaret: Hvordan verden sporer sårbarheder