CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

Система CVE

11 минута чтенияБезопасность

Каждая уязвимость безопасности, о которой вы слышите — Heartbleed, Log4Shell, Spectre — имеет номер CVE. Система общих уязвимостей и уязвимостей — это глобальное соглашение об именах для отслеживания недостатков программного обеспечения. Понимание того, что такое CVE, как работает оценка и где в настоящее время система испытывает трудности, проясняет, почему некоторые уязвимости привлекают такое внимание.

Полный текст статьи на английском языке представлен ниже.

CVE (общие уязвимости и уязвимости) — это стандартизированная система для наименования и отслеживания публично раскрытых уязвимостей программного обеспечения. Каждая запись получает уникальный идентификатор, например CVE-2023-12345 (год + порядковый номер), что позволяет исследователям, поставщикам и инструментам однозначно ссылаться на конкретные ошибки в отрасли.

Как работает система

Корпорация MITRE управляет программой CVE при финансовой поддержке Агентства кибербезопасности и безопасности инфраструктуры США (CISA). Основной поток:

  1. A. Обнаружена уязвимость.
  2. Отправитель сообщает затронутому поставщику (или органу нумерации CVE — CNA).
  3. CNA присваивает идентификатор CVE.
  4. Уязвимость изначально помечена как «зарезервированная» — идентификатор существует, но подробности отсутствуют. public.
  5. Когда уязвимость раскрыта (доступно исправление или истекает срок), запись заполняется описанием и ссылками.
  6. Запись публикуется в списке MITRE CVE и Национальной базе данных уязвимостей (NVD), поддерживаемой NIST.

Количество опубликованных CVE резко выросло — с От ~6 000 в год в 2015 году до более 25 000 в год в 2024 году.

CNA: кто может назначать идентификаторы CVE.

CVE Нумерационные центры — это организации, уполномоченные присваивать идентификаторы CVE в пределах своей компетенции. Примеры:

  • Основные поставщики — Microsoft, Apple, Google, Oracle, Cisco, Red Hat — каждый назначает сертификаты CVE для своих продуктов.
  • Координаторы открытого исходного кода — Apache Software Foundation, GitHub Security Lab.
  • Специально для отрасли — ICS-CERT для промышленного контроля системы.
  • Региональный — JPCERT/CC для Японии, BSI для Германии.
  • MITRE для уязвимостей, не охваченных каким-либо конкретным CNA.

По состоянию на 2026 год существует около 350+ CNA. Система децентрализована; не все CVE проходят одинаковую проверку.

CVSS оценка

Общая система оценки уязвимостей (CVSS) предоставляет числовой показатель серьезности от 0 до 10 на основе:

  • Вектор атаки — сеть, Смежная сеть, локальная, физическая
  • Сложность атаки — низкая или высокая
  • Требуемые привилегии — нет, низкая, высокая
  • Взаимодействие с пользователем — нет, Требуется
  • Область действия — без изменений или изменений (влияет ли эксплуатация на другой орган безопасности)
  • Влияние на конфиденциальность/целостность/доступность — нет, низкий, высокий для каждого

Векторная строка фиксирует все это (например, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). Итоговый балл распределяется по категориям:

  • 0.0 — Нет
  • 0.1-3,9 — Низкий
  • 4.0-6,9 — Средний
  • 7.0-8,9 — Высокий
  • 9.0-10,0 — Critical

CVSS 4.0 (выпущен в 2023 г.) уточняет метрики. Многие инструменты до сих пор используют версию 3.1.

Что не фиксирует CVSS

Оценка не отражает:

  • Насколько широко распространено уязвимое программное обеспечение
  • Существуют ли общедоступные эксплойты
  • Активна ли уязвимость эксплуатируется
  • Особое влияние на бизнес любой организации

Для определения приоритетов CVSS является отправной точкой, но недостаточной. Каталог известных эксплуатируемых уязвимостей (KEV) CISA идентифицирует активно эксплуатируемые CVE — список, более действенный, чем «все критические CVE». 2024 г. из-за бюджетных и кадровых проблем. Количество непроанализированных CVE выросло до тысяч; последующие инструменты и системы управления исправлениями, которые зависят от обогащения NVD, сломались.

Кризис вызвал множество реакций: CVE.org расширил свою собственную роль, проект Vulnrichment попытался добавить недостающий анализ, а различные организации создали альтернативные базы данных. Ситуация частично восстановилась, но выявила хрупкость центральной инфраструктуры.

Известные номера CVE

  • CVE-2014-0160 — Heartbleed. Раскрытие памяти OpenSSL.
  • CVE-2017-0144 — EternalBlue / WannaCry. Уязвимость Microsoft SMB, используемая массово ransomware.
  • CVE-2021-44228 — Log4Shell. Log4j JNDI-инъекция. Массовая эксплуатация; CVSS 10.
  • CVE-2014-6271 — Shellshock. Анализ переменных среды Bash.
  • CVE-2023-23397 — Утечка учетных данных Microsoft Outlook NTLM. Активная эксплуатация российской угрозой актеры.
  • CVE-2024-3094 — Бэкдор XZ Utils. Многолетняя социальная инженерная атака на цепочку поставок 2024 года.

Что CVE значат для вас

Для обычных пользователей появляются номера CVE в:

  • Примечания к исправлениям для вашей ОС, приложений, браузера
  • Новости об основных уязвимостях
  • Рекомендации по безопасности от поставщиков

Практический вывод: когда в новостях упоминается CVE, о котором вы слышали, проверьте, имеет ли ваше программное обеспечение соответствующее обновление. «Доступно обновление» — универсальный ответ для большинства пользователей; более глубокое расследование предназначено для тех, кто отвечает за управление автопарком.

Для разработчиков и групп безопасности отслеживание CVE, расстановка приоритетов с учетом KEV и оценка воздействия на основе SBOM теперь являются частью стандартных операций.

Часто задаваемые вопросы

Каждая ли уязвимость получает CVE?
Большинство публично раскрытых уязвимостей получают CVE, особенно в широко распространенном программном обеспечении. Уязвимости в пользовательских приложениях, внутренних системах и ошибки, которые устраняются до их раскрытия, часто не получают CVE. Система охватывает большую часть того, что привлекает внимание общественности.
В чем разница между MITRE и NVD?
MITRE (CVE.org) поддерживает список CVE — присвоение идентификаторов и базовое описание. NVD добавляет анализ: оценку CVSS, картографирование затронутых продуктов (CPE), ссылки. Оба являются публичными; инструменты часто используют и то, и другое.
Всегда ли высокий балл CVSS имеет смысл?
Не обязательно. CVSS 10 в программном обеспечении, которое вы не используете, для вас не имеет значения. CVSS 5, который активно эксплуатируется, более актуален, чем CVSS 9, без известных эксплойтов. Каталог KEV CISA сочетает в себе серьезность и реальность эксплойтов для лучшей расстановки приоритетов.
Почему некоторые CVE зарезервированы без подробностей?
Статус «Зарезервировано» означает, что идентификатор присвоен, но уязвимость еще не раскрыта публично. Поставщики резервируют идентификаторы для внутреннего обсуждения уязвимостей в период разработки исправления, а затем заполняют запись, когда происходит раскрытие информации.
Как обнаружить CVE, влияющие на мое программное обеспечение?
В рекомендациях по безопасности поставщиков перечислены соответствующие CVE. Поиск NVD на nvd.nist.gov осуществляет поиск по поставщику/продукту. Такие инструменты, как Snyk, GitHub Dependabot и менеджеры пакетов ОС, автоматически отслеживают CVE на основе зависимостей.
Объяснение системы CVE: как мир отслеживает уязвимости