CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

Система CVE

11 хв. читанняБезпека

Кожна вразливість безпеки, про яку ви чуєте — Heartbleed, Log4Shell, Spectre — має номер CVE. Система Common Vulnerabilities and Exposures — це глобальна угода про найменування для відстеження недоліків програмного забезпечення. Розуміння того, що таке CVE, як працює підрахунок балів і з якими проблемами зараз стикається система, пояснює, чому деякі вразливості привертають таку увагу.

Повний текст статті подано англійською мовою нижче.

CVE (загальні вразливості та викриття) — це стандартизована система для визначення та відстеження публічно оприлюднених уразливостей програмного забезпечення. Кожен запис отримує унікальний ідентифікатор, як-от CVE-2023-12345 (рік + порядковий номер), що дозволяє дослідникам, постачальникам і інструментам однозначно посилатися на конкретні помилки в галузі.

Як працює система

Корпорація MITRE керує програмою CVE за фінансування Агентства кібербезпеки та безпеки інфраструктури США (CISA). Основний потік: знайдено вразливість

  1. A.
  2. Відкривач повідомляє про це постачальнику (або в центр нумерації CVE — CNA).
  3. CNA призначає ідентифікатор CVE.
  4. Уразливість спочатку позначена як «зарезервована» — ідентифікатор існує, але деталі. не є загальнодоступними.
  5. Коли вразливість розкривається (доступне виправлення або закінчується певний термін), запис заповнюється описом і посиланнями.
  6. Запис публікується в списку CVE MITRE та Національній базі даних уразливостей (NVD), яку підтримує NIST.

Кількість CVE кількість опублікованих суттєво зросла — з ~6 000/рік у 2015 році до 25 000+/рік у 2024 році.

CNA: хто може призначати ідентифікатори CVE

CVE Органи нумерації — це організації, уповноважені призначати ідентифікатори CVE у межах своєї сфери діяльності. Приклади:

  • Головні постачальники — Microsoft, Apple, Google, Oracle, Cisco, Red Hat — кожен призначає CVE для своїх власних продуктів.
  • Координатори з відкритим кодом — Apache Software Foundation, GitHub Security Lab.
  • IГалузеві — ICS-CERT для промислового контролю системи.
  • Регіональний — JPCERT/CC для Японії, BSI для Німеччини.Сам
  • MITRE для вразливостей, не охоплених жодним конкретним CNA.

Станом на 2026 рік існує приблизно 350+ CNA. Система децентралізована; не кожен CVE проходить однакову перевірку. Оцінка

CVSS

Загальна система оцінки вразливостей (CVSS) надає числову оцінку серйозності від 0 до 10 на основі:

  • Вектор атаки — мережа, Суміжна мережа, локальна, фізична
  • Складність атаки — Низька або висока
  • Потрібні привілеї — Немає, Низька, Висока
  • Взаємодія з користувачем — Немає, Потрібний
  • Scope — Незмінений або змінений (чи впливає експлуатація на інший орган безпеки)
  • Вплив на конфіденційність/цілісність/доступність — Немає, Низький, Високий для кожного

Векторний рядок фіксує всі ці (наприклад, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). Остаточна оцінка класифікується:

  • 0.0 — Немає
  • 0.1-3.9 — Низький
  • 4.0-6.9 — Середній
  • 7.0-8.9 — Високий
  • 9.0-10.0 — Critical

CVSS 4.0 (випущено 2023) уточнює показники. Багато інструментів досі використовують 3.1.

Що CVSS не фіксує

Оцінка не відображає:

  • Наскільки широко розгорнуто уражене програмне забезпечення
  • Чи існують публічні експлойти
  • Чи є вразливість активне використання
  • Специфічний вплив на бізнес для будь-якої організації

Для встановлення пріоритетів CVSS є відправною точкою, але недостатньо. Каталог CISA Known Exploited Vulnerabilities (KEV) ідентифікує CVE, які активно експлуатуються — це більш ефективний список, ніж «усі критичні CVE».

Проблема NVD 2024

Національна база даних уразливостей NIST — яка традиційно додає аналіз, оцінку CVSS і CPE зіставлення із записами CVE — різко сповільнилося на початку 2024 року через проблеми з бюджетом і персоналом. Резерви непроаналізованих CVE зросли до тисяч; Вийшли з ладу подальші інструменти та системи керування виправленнями, які залежать від збагачення NVD.

Криза викликала численні реакції: CVE.org розширив свою роль, проект Vulnrichment намагався додати відсутній аналіз, а різні організації створили альтернативні бази даних. Ситуація частково відновилася, але виявила крихкість центральної інфраструктури.

Відомі номери CVE

  • CVE-2014-0160 — Heartbleed. Розкриття пам’яті OpenSSL.
  • CVE-2017-0144 — EternalBlue / WannaCry. Уразливість Microsoft SMB використовується в масових програма-вимагач.
  • CVE-2021-44228 — Log4Shell. Ін’єкція JNDI Log4j. Масова експлуатація; CVSS 10.
  • CVE-2014-6271 — Shellshock. Розбір змінної середовища Bash.
  • CVE-2023-23397 — Витік облікових даних Microsoft Outlook NTLM. Активне використання російською загрозою актори.
  • CVE-2024-3094 — Бекдор XZ Utils. Багаторічна атака на ланцюг поставок соціальної інженерії 2024 року.

Що для вас означають CVE

Для звичайних користувачів відображаються номери CVE у:

  • Примітки щодо виправлень для вашої ОС, програм, браузера
  • Новини про основні вразливості
  • Поради щодо безпеки від постачальників

Практичний висновок: коли в новинах згадується CVE, про який ви чули, перевірте, чи має ваше програмне забезпечення відповідне оновлення. «Оновлення доступне» — універсальна відповідь для більшості користувачів; глибше дослідження для тих, хто відповідає за керування автопарком.

Для розробників і команд безпеки відстеження CVE, визначення пріоритетів з урахуванням KEV і оцінка впливу на основі SBOM тепер є частиною стандартних операцій.

Часті запитання

Чи кожна вразливість отримує CVE?
Більшість публічно оприлюднених уразливостей отримують CVE, особливо в широко розповсюдженому програмному забезпеченні. Уразливості в спеціальних програмах, внутрішніх системах і помилки, які виправляються до будь-якого розкриття, часто не отримують CVE. Система охоплює більшість того, що привертає увагу громадськості.
Яка різниця між МІТЕР і НВД?
MITER (CVE.org) підтримує список CVE — призначення ідентифікатора та базовий опис. NVD додає аналіз: оцінка CVSS, відображення уражених продуктів (CPE), посилання. Обидва публічні; інструменти часто споживають обидва.
Чи завжди висока оцінка CVSS викликає позов?
Не обов'язково. CVSS 10 у програмному забезпеченні, яке ви не використовуєте, для вас не має значення. CVSS 5, який активно експлуатується, є більш актуальним, ніж CVSS 9 без відомого експлойту. Каталог KEV від CISA поєднує рівень серйозності з реальністю експлойтів для кращого визначення пріоритетів.
Чому деякі CVE зарезервовані без деталей?
Зарезервований статус означає, що ідентифікатор було виділено, але вразливість ще не оприлюднена. Постачальники резервують ідентифікатори для внутрішнього обговорення вразливостей протягом періоду розробки виправлення, а потім заповнюють запис, коли відбувається розкриття інформації.
Як знайти CVE, що впливають на моє програмне забезпечення?
У рекомендаціях постачальників щодо безпеки перелічено відповідні CVE. Пошук NVD на nvd.nist.gov виконує пошук за постачальником/продуктом. Такі інструменти, як Snyk, GitHub Dependabot і менеджери пакунків ОС, автоматично відстежують CVE на основі залежностей.
Пояснення системи CVE: як світ відстежує вразливості