CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

CVE-järjestelmä

11 min lukeaTurvallisuus

Kaikilla tietoturvahaavoittuvuuksilla, joista kuulet - Heartbleed, Log4Shell, Spectre - on CVE-numero. Common Vulnerabilities and Exposures -järjestelmä on maailmanlaajuinen nimeämiskäytäntö ohjelmistovirheiden jäljittämiseksi. Ymmärtäminen, mitä CVE:t ovat, kuinka pisteytys toimii ja missä järjestelmällä on tällä hetkellä vaikeuksia, selventää, miksi jotkin haavoittuvuudet kiinnittävät huomiota.

Artikkelin koko runko on englanniksi alla.

CVE (Yleiset haavoittuvuudet ja altistukset) on standardoitu järjestelmä julkisesti ilmoitettujen ohjelmistohaavoittuvuuksien nimeämiseen ja seurantaan. Jokainen merkintä saa yksilöllisen tunnisteen, kuten CVE-2023-12345 (vuosi + järjestysnumero), jonka avulla tutkijat, toimittajat ja työkalut voivat viitata tiettyihin virheisiin yksiselitteisesti eri puolilla alaa.

Järjestelmän toiminta

MITER Corporation hallinnoi CVE-ohjelmaa US Cybersecuren ja Infrastructure Security Agencyn (Infrastructure Agency) rahoituksella. Peruskulku:

  1. A-haavoittuvuus löydetty.
  2. Löytäjä raportoi asianomaiselle toimittajalle (tai CVE-numerointiviranomaiselle – CNA).
  3. CNA määrittää CVE-tunnuksen.
  4. , mutta haavoittuvuuden merkintä on alun perin olemassa. eivät ole julkisia.
  5. Kun haavoittuvuus paljastetaan (korjauspaikka saatavilla tai jokin määräaika umpeutuu), merkintä täytetään kuvauksella ja viittauksilla.
  6. Tieto on julkaistu MITER CVE -luettelossa ja National Vulnerability Database (NVD) -tietokannassa, jota ylläpitää CXXZ2220PLX-numeron NIST.X on kasvanut dramaattisesti – noin 6 000:sta vuodessa vuonna 2015 vuoteen 25 000+ vuodessa vuonna 2024.

    CNA:t: ketkä voivat määrittää CVE-tunnuksia

    CVE-numerointiviranomaiset ovat organisaatioita, joilla on valtuutus omiin toiminta-alueisiinsa. Esimerkkejä:

    • Suuret toimittajat — Microsoft, Apple, Google, Oracle, Cisco, Red Hat — määrittävät kukin CVE:t omille tuotteilleen.
    • Avoimen lähdekoodin koordinaattorit — Apache Software Foundation, GitHub Security Lab.
      • XNndustry-PLZ3CXI — Industrial Control system.
    • Regional — JPCERT/CC Japanille, BSI Saksalle.
    • MITRE itse haavoittuvuuksille, joita mikään tietty CNA ei kata.

    On noin 350+ CNA:ta. Vuodesta 2026 lähtien järjestelmä on hajautettu; jokainen CVE ei käy läpi samaa tarkistusta.

    CVSS-pisteytys

    Yleinen haavoittuvuuden pisteytysjärjestelmä (CVSS) tarjoaa numeerisen vakavuuspisteen 0–10, joka perustuu:

      XZV vektori Verkko, viereinen verkko, paikallinen, fyysinen
    • Hyökkäyksen monimutkaisuus — Matala tai korkea
    • Oikeudet vaaditaan — Ei mitään, Matala, Korkea
    • 5 Käyttäjän vuorovaikutusX ei Pakollinen
    • Scope — Muuttumaton tai muutettu (vaikuttaako hyväksikäyttö eri tietoturvaviranomaisiin)
    • Luottamuksellisuus / eheys / saatavuusvaikutus — Ei mitään, alhainen, korkea kunkin stringin kaappaus7PLZXPLX5XX (esim. CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9,8). Lopullinen pistemäärä luokitellaan:

      • 0.0 — Ei
      • 0.1-3.9 — Matala
      • 4.0-6.9 — Keskitaso
      • 7.0-8.9 — High
        • X — PLZ8-07.9. Critical

      CVSS 4.0 (julkaistu 2023) tarkentaa mittareita. Monet työkalut käyttävät edelleen 3.1.

      Mitä CVSS ei kaappaa

      Pistemäärä ei heijasta:

      • Kuinka laajalti käytetty ohjelmisto on
      • Onko julkinen hyväksikäyttö olemassa exploited
      • Erityinen liiketoimintavaikutus mille tahansa organisaatiolle

      Priorisoinnissa CVSS on lähtökohta, mutta se ei riitä. CISA:n Known Exploited Vulnerabilities (KEV) -luettelo tunnistaa CVE:t, joita hyödynnetään aktiivisesti – toimivampi luettelo kuin "kaikki kriittiset CVE:t".

      NVD-ongelma 2024

      NIST-kansallinen haavoittuvuustietokanta, johon perinteiset CVSSSS-analyysit ja CVSS-analyysit lisätään. kartoittaminen CVE-merkintöihin – hidastui dramaattisesti vuoden 2024 alussa budjetti- ja henkilöstöongelmien vuoksi. Analysoimattomien CVE:iden ruuhkat kasvoivat tuhansiin; NVD-rikastuksesta riippuvat loppupään työkalut ja korjaustiedostojen hallintajärjestelmät hajosivat.

      Kriisi sai aikaan useita vastauksia: CVE.org laajensi omaa rooliaan, Vulnrichment-projekti yritti lisätä puuttuvan analyysin ja useat organisaatiot loivat vaihtoehtoisia tietokantoja. Tilanne on osittain toipunut, mutta paljastanut keskusinfrastruktuurin haurauden.

      Kuuluisat CVE-numerot

      • CVE-2014-0160 — Heartbleed. OpenSSL-muistin paljastaminen.
      • CVE-2017-0144 — EternalBlue / WannaCry.-haavoittuvuus Microsoftin käytössä. ransomware.
      • CVE-2021-44228 — Log4Shell. Log4j JNDI-injektio. Massariisto; CVSS 10.
      • CVE-2014-6271 — Shellshock. Bash-ympäristömuuttujan jäsennys.
      • CVE-2023-23397 — Microsoft Outlook NTLM uhka2 exploitx uhkaX0. näyttelijät.
      • CVE-2024-3094 — XZ Utils backdoor. Vuoden 2024 monivuotinen sosiaalisen suunnittelun toimitusketjuhyökkäys.

      Mitä CVE:t tarkoittavat tavallisille käyttäjille, CVE-numerot näyttävät sinulleX in:

      • Korjausmuistiinpanot käyttöjärjestelmällesi, sovelluksille, selaimelle
      • Uutisia suurista haavoittuvuuksista
      • Turvallisuusneuvojat toimittajilta

      Onko uutisiasi asiaankuuluva kuultavissa C: VE, kun mainitset asianmukaisia ohjelmistoja. päivitys. "Päivitys saatavilla" on yleinen vastaus useimmille käyttäjille; syvällisempi tutkimus on niille, jotka ovat vastuussa kaluston hallinnasta.

      Kehittäjille ja turvallisuustiimeille CVE-seuranta, KEV-tietoinen priorisointi ja SBOM-pohjainen altistumisen arviointi ovat nyt osa vakiotoimintoja.

Usein kysytyt kysymykset

Saako jokainen haavoittuvuus CVE:n?
Useimmat julkisesti julkistetut haavoittuvuudet saavat CVE:t, erityisesti laajalti käytössä olevien ohjelmistojen haavoittuvuudet. Räätälöityjen sovellusten, sisäisten järjestelmien ja virheiden haavoittuvuudet, jotka korjataan ennen julkistamista, eivät useinkaan saa CVE:itä. Järjestelmä kattaa suurimman osan siitä, mikä saavuttaa yleisön huomion.
Mitä eroa on MITERillä ja NVD:llä?
MITER (CVE.org) ylläpitää CVE-luetteloa — tunnisteiden määritystä ja peruskuvausta. NVD lisää analyysin: CVSS-pisteytys, vaikutusten tuotekartoitus (CPE), viitteet. Molemmat ovat julkisia; työkalut kuluttavat usein molempia.
Onko korkea CVSS-pistemäärä aina toteutettavissa?
Ei välttämättä. CVSS 10 ohjelmistossa, jota et käytä, ei ole sinulle merkityksellinen. Aktiivisesti hyödynnetty CVSS 5 on kiireellisempi kuin CVSS 9, jossa ei ole tunnettua hyväksikäyttöä. CISAn KEV-luettelo yhdistää vakavuuden ja hyväksikäyttötodellisuuden paremman priorisoinnin saavuttamiseksi.
Miksi jotkut CVE:t on varattu ilman tietoja?
Varattu tila tarkoittaa, että tunnus on myönnetty, mutta haavoittuvuutta ei ole vielä julkistettu. Toimittajat varaavat tunnukset keskustelemaan haavoittuvuuksista sisäisesti korjaustiedoston kehitysjakson aikana ja täyttävät sitten merkinnän, kun tiedot paljastuvat.
Miten löydän ohjelmistooni vaikuttavat CVE:t?
Toimittajan tietoturvatiedotteet listaavat asiaankuuluvat CVE:t. NVD-haku osoitteessa nvd.nist.gov hakee toimittajan/tuotteen mukaan. Työkalut, kuten Snyk, GitHub Dependabot ja käyttöjärjestelmän pakettien hallintaohjelmat, suorittavat riippuvuuspohjaisen CVE-seurannan automaattisesti.
CVE-järjestelmä selitti: Kuinka maailma jäljittää haavoittuvuuksia