CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

CVE-systeem

11 min gelezenBeveiliging

Elk beveiligingsprobleem waarover u hoort – Heartbleed, Log4Shell, Spectre – heeft een CVE-nummer. Het Common Vulnerabilities and Exposures-systeem is de wereldwijde naamgevingsconventie voor het opsporen van softwarefouten. Door te begrijpen wat CVE’s zijn, hoe scoren werkt en waar het systeem momenteel moeite mee heeft, wordt duidelijk waarom sommige kwetsbaarheden de aandacht krijgen die ze krijgen.

De volledige artikeltekst vindt u hieronder in het Engels.

CVE (Common Vulnerabilities and Exposures) is het gestandaardiseerde systeem voor het benoemen en volgen van openbaar gemaakte softwarekwetsbaarheden. Elke inzending krijgt een unieke identificatie, zoals CVE-2023-12345 (jaar + volgnummer), waardoor onderzoekers, leveranciers en tools op ondubbelzinnige wijze naar specifieke bugs in de branche kunnen verwijzen.

Hoe het systeem werkt

De MITRE Corporation beheert het CVE-programma met financiering van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De basisstroom:

  1. Een kwetsbaarheid is gevonden.
  2. De ontdekker rapporteert aan de getroffen leverancier (of aan een CVE-nummerautoriteit – CNA).
  3. De CNA wijst een CVE-ID toe.
  4. De kwetsbaarheid wordt aanvankelijk gemarkeerd als ‘gereserveerd’: de ID bestaat, maar de details zijn niet public.
  5. Wanneer de kwetsbaarheid wordt onthuld (patch beschikbaar of een bepaalde deadline verloopt), wordt de vermelding gevuld met beschrijvingen en referenties.
  6. De vermelding wordt gepubliceerd op de MITRE CVE-lijst en de National Vulnerability Database (NVD), onderhouden door NIST.

Het aantal gepubliceerde CVE’s is dramatisch gegroeid – van ~6.000/jaar in 2015 tot 25.000+/jaar in 2024.

CNA's: wie kan CVE-ID's toewijzen

CVE-nummeringsautoriteiten zijn organisaties die bevoegd zijn om CVE-ID's toe te wijzen binnen hun reikwijdte. Voorbeelden:

  • Grote leveranciers – Microsoft, Apple, Google, Oracle, Cisco, Red Hat – wijzen elk CVE’s toe voor hun eigen producten.
  • Open-source coördinatoren – Apache Software Foundation, GitHub Security Lab.
  • Industriespecifiek – ICS-CERT voor industriële besturingssystemen.
  • Regionaal – JPCERT/CC voor Japan, BSI voor Duitsland.
  • MITRE zelf voor kwetsbaarheden die niet onder een specifieke CNA vallen.

Er zijn ongeveer 350+ CNA's vanaf 2026. Het systeem is gedecentraliseerd; niet elke CVE ondergaat dezelfde beoordeling.

CVSS-score

Het Common Vulnerability Scoring System (CVSS) biedt een numerieke ernstscore van 0-10 op basis van:

  • Aanvalsvector — Netwerk, Aangrenzend netwerk, Lokaal, Fysiek
  • Aanvalscomplexiteit — Laag of hoog
  • Vereiste rechten — Geen, Laag, Hoog
  • Gebruikersinteractie — Geen, Vereist
  • Scope — Ongewijzigd of Gewijzigd (heeft de exploitatie gevolgen voor een andere beveiligingsautoriteit)
  • Invloed op vertrouwelijkheid/integriteit/beschikbaarheid — Geen, Laag, Hoog voor elke

De vectortekenreeks legt al deze zaken vast (bijv. CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). De uiteindelijke score wordt gecategoriseerd:

  • 0.0 — Geen
  • 0.1-3.9 — Laag
  • 4.0-6.9 — Medium
  • 7.0-8.9 — Hoog
  • 9.0-10.0 — Critical

CVSS 4.0 (uitgebracht in 2023) verfijnt de statistieken. Veel tools gebruiken nog steeds 3.1.

Wat CVSS niet vastlegt

De score geeft niet weer:

  • Hoe breed ingezet de getroffen software is
  • Of er openbare exploits bestaan
  • Of de kwetsbaarheid actief is benut
  • De specifieke zakelijke impact voor elke organisatie

Voor het stellen van prioriteiten is CVSS het startpunt, maar niet voldoende. CISA's Known Exploited Vulnerabilities (KEV)-catalogus identificeert CVE's die actief worden uitgebuit - een lijst met meer actiemogelijkheden dan 'alle kritieke CVE's'.

Het NVD-probleem van 2024

De NIST National Vulnerability Database - die traditioneel analyse, CVSS-scores en CPE-toewijzingen toevoegt aan CVE-inzendingen - vertraagde begin 2024 dramatisch vanwege budget- en personeelsproblemen. De achterstanden op het gebied van niet-geanalyseerde CVE’s liepen op tot duizenden; downstream-tools en patchbeheersystemen die afhankelijk zijn van NVD-verrijking gingen kapot.

De crisis leidde tot meerdere reacties: CVE.org breidde zijn eigen rol uit, het Vulnrichment-project probeerde de ontbrekende analyse toe te voegen en verschillende organisaties creëerden alternatieve databases. De situatie is gedeeltelijk hersteld, maar heeft de kwetsbaarheid van de centrale infrastructuur blootgelegd.

Bekende CVE-nummers

  • CVE-2014-0160 — Heartbleed. OpenSSL-geheugenvrijgave.
  • CVE-2017-0144 — EternalBlue / WannaCry. Microsoft SMB-kwetsbaarheid gebruikt in massale ransomware.
  • CVE-2021-44228 — Log4Shell. Log4j JNDI-injectie. Massale uitbuiting; CVSS 10.
  • CVE-2014-6271 — Shellshock. Bash-omgevingsvariabelen parseren.
  • CVE-2023-23397 — Microsoft Outlook NTLM-referentielek. Actieve exploitatie door Russische dreiging actoren.
  • CVE-2024-3094 — XZ Utils backdoor. De meerjarige social-engineering supply chain-aanval van 2024.

Wat CVE's voor u betekenen

Voor gewone gebruikers verschijnen CVE-nummers in:

  • Patchopmerkingen voor uw besturingssysteem, apps, browser
  • Nieuws over grote kwetsbaarheden
  • Beveiligingsadviezen van leveranciers

De praktische tip: wanneer nieuws een CVE vermeldt waarover u hebt gehoord, controleer dan of uw software de relevante update heeft. "Update beschikbaar" is het universele antwoord voor de meeste gebruikers; dieper onderzoek is voor degenen die verantwoordelijk zijn voor wagenparkbeheer.

Voor ontwikkelaars en beveiligingsteams zijn CVE-tracking, KEV-bewuste prioritering en SBOM-gestuurde blootstellingsbeoordeling nu onderdeel van de standaardactiviteiten.

Veelgestelde vragen

Krijgt elke kwetsbaarheid een CVE?
De meeste openbaar gemaakte kwetsbaarheden krijgen CVE’s, vooral die in wijdverspreide software. Kwetsbaarheden in aangepaste applicaties, interne systemen en bugs die worden opgelost voordat ze openbaar worden gemaakt, krijgen vaak geen CVE's. Het systeem dekt het grootste deel van wat de publieke aandacht bereikt.
Wat is het verschil tussen MITRE en NVD?
MITRE (CVE.org) houdt de CVE-lijst bij: identificatietoewijzing en basisbeschrijving. NVD voegt analyse toe: CVSS-scores, mapping van getroffen producten (CPE's), referenties. Beide zijn openbaar; tools verbruiken vaak beide.
Is een hoge CVSS-score altijd uitvoerbaar?
Niet noodzakelijkerwijs. Een CVSS 10 in software die u niet gebruikt, is voor u niet relevant. Een CVSS 5 die actief wordt uitgebuit, is urgenter dan een CVSS 9 zonder bekende exploit. De KEV-catalogus van CISA combineert ernst met exploitatierealiteit voor betere prioriteiten.
Waarom zijn sommige CVE’s gereserveerd zonder details?
De status Gereserveerd betekent dat de ID is toegewezen, maar dat de kwetsbaarheid nog niet openbaar is gemaakt. Leveranciers reserveren ID's om kwetsbaarheden intern te bespreken tijdens de ontwikkelingsperiode van de patch en vullen deze vervolgens in wanneer er openbaarmaking plaatsvindt.
Hoe kan ik ontdekken dat CVE's van invloed zijn op mijn software?
Beveiligingsadviezen van leveranciers vermelden relevante CVE's. De NVD-zoekopdracht op nvd.nist.gov zoekt op leverancier/product. Tools zoals Snyk, GitHub Dependabot en OS-pakketbeheerders voeren automatisch op afhankelijkheid gebaseerde CVE-tracking uit.
Het CVE-systeem uitgelegd: hoe de wereld kwetsbaarheden opspoort