CVE-2024-12345Critical RCE in WidgetServer 3.xPublished: 2024-08-12CWE-78: OS Command Injection9.8CRITICALunique ID + severity + references

Hệ thống CVE

11 đọc tối thiểuBảo vệ

Mọi lỗ hổng bảo mật mà bạn nghe thấy — Heartbleed, Log4Shell, Spectre — đều có số CVE. Hệ thống Các lỗ hổng và nguy cơ bị phơi nhiễm phổ biến là quy ước đặt tên toàn cầu để theo dõi các lỗi phần mềm. Hiểu CVE là gì, cách tính điểm hoạt động và hệ thống hiện đang gặp khó khăn ở đâu sẽ làm rõ lý do tại sao một số lỗ hổng lại thu hút được sự chú ý.

Toàn bộ nội dung bài viết được cung cấp bằng tiếng Anh bên dưới.

CVE (Các lỗ hổng và nguy cơ phơi nhiễm phổ biến) là hệ thống được tiêu chuẩn hóa để đặt tên và theo dõi các lỗ hổng phần mềm được tiết lộ công khai. Mỗi mục nhập có một mã định danh duy nhất như CVE-2023-12345 (năm + số thứ tự), cho phép các nhà nghiên cứu, nhà cung cấp và công cụ đề cập đến các lỗi cụ thể một cách rõ ràng trong toàn ngành.

Cách hệ thống hoạt động

Tập đoàn MITER vận hành Chương trình CVE với sự tài trợ từ Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA). Luồng cơ bản:Đã tìm thấy lỗ hổng

  1. A.
  2. Người phát hiện báo cáo cho nhà cung cấp bị ảnh hưởng (hoặc cho Cơ quan đánh số CVE — CNA).
  3. CNA gán ID CVE.
  4. Lỗ hổng ban đầu được đánh dấu là "dành riêng" — ID tồn tại nhưng thông tin chi tiết thì không public.
  5. Khi lỗ hổng được tiết lộ (có bản vá hoặc một số thời hạn hết hạn), mục nhập sẽ được điền với mô tả và tài liệu tham khảo.
  6. Mục nhập được xuất bản lên danh sách MITER CVE và Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD) được duy trì bởi NIST.

Số lượng CVE được xuất bản đã tăng lên đáng kể — từ ~6.000/năm vào năm 2015 lên tới 25.000+/năm vào năm 2024.

CNA: ai có thể chỉ định ID CVE

CVE Cơ quan đánh số là các tổ chức được ủy quyền chỉ định ID CVE trong phạm vi của họ. Ví dụ:

  • Các nhà cung cấp chính — Microsoft, Apple, Google, Oracle, Cisco, Red Hat — mỗi nhà cung cấp CVE cho sản phẩm của riêng họ.
  • Điều phối viên nguồn mở — Apache Software Foundation, GitHub Security Lab.
  • Dành riêng cho ngành — ICS-CERT cho các hệ thống điều khiển công nghiệp.
  • Regional — JPCERT/CC đối với Nhật Bản, BSI đối với Đức.
  • MITRE dành cho các lỗ hổng không được bất kỳ CNA cụ thể nào đề cập.

Có khoảng hơn 350 CNA tính đến năm 2026. Hệ thống được phân cấp; không phải mọi CVE đều trải qua cùng một đánh giá. Điểm

CVSS

Hệ thống chấm điểm lỗ hổng chung (CVSS) cung cấp điểm số nghiêm trọng từ 0-10 dựa trên:

  • Vectơ tấn công — Mạng, Mạng liền kề, Cục bộ, Vật lý
  • Độ phức tạp của cuộc tấn công — Thấp hoặc Cao
  • Đặc quyền bắt buộc — Không, Thấp, Cao
  • Tương tác người dùng — Không, Bắt buộc
  • Scope — Không thay đổi hoặc đã thay đổi (việc khai thác có ảnh hưởng đến cơ quan bảo mật khác không)
  • Tác động đến tính bảo mật / tính toàn vẹn / tính khả dụng — Không, Thấp, Cao cho mỗi

Chuỗi vectơ nắm bắt tất cả những điều này (ví dụ: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). Điểm cuối cùng được phân loại:

  • 0.0 — Không
  • 0.1-3.9 — Thấp
  • 4.0-6.9 — Trung bình
  • 7.0-8.9 — Cao
  • 9.0-10.0 — Critical

CVSS 4.0 (phát hành năm 2023) tinh chỉnh các chỉ số. Nhiều công cụ vẫn sử dụng 3.1.

CVSS nào không nắm bắt được

Điểm số không phản ánh:

  • Phần mềm bị ảnh hưởng được triển khai rộng rãi như thế nào
  • Có khai thác công khai hay không
  • Liệu lỗ hổng này có đang được tích cực hay không khai thác
  • Tác động kinh doanh cụ thể đối với mọi tổ chức

Đối với việc ưu tiên, CVSS là điểm khởi đầu nhưng chưa đủ. Danh mục các lỗ hổng bị khai thác đã biết (KEV) của CISA xác định các CVE đang được khai thác tích cực — một danh sách có thể hành động hơn "tất cả các CVE quan trọng". vấn đề nhân sự. Lượng CVE tồn đọng chưa được phân tích đã lên tới hàng nghìn; các công cụ hạ nguồn và hệ thống quản lý bản vá phụ thuộc vào việc làm giàu NVD đã bị hỏng.

Cuộc khủng hoảng đã dẫn đến nhiều phản ứng: CVE.org mở rộng vai trò của chính mình, dự án Vulnrichment đã cố gắng bổ sung phân tích còn thiếu và nhiều tổ chức khác nhau đã tạo ra cơ sở dữ liệu thay thế. Tình hình đã phục hồi một phần nhưng bộc lộ sự mong manh của cơ sở hạ tầng trung tâm.

Số CVE nổi tiếng

  • CVE-2014-0160 — Heartbleed. Tiết lộ bộ nhớ OpenSSL.
  • CVE-2017-0144 — EternalBlue / WannaCry. Lỗ hổng Microsoft SMB được sử dụng hàng loạt ransomware.
  • CVE-2021-44228 — Log4Shell. Log4j JNDI tiêm. Khai thác hàng loạt; CVSS 10.
  • CVE-2014-6271 — Phân tích cú pháp biến môi trường Shellshock. Bash.
  • CVE-2023-23397 — Rò rỉ thông tin xác thực Microsoft Outlook NTLM. Bị khai thác tích cực bởi mối đe dọa từ Nga diễn viên.
  • CVE-2024-3094 — Cửa hậu của XX Utils. Cuộc tấn công chuỗi cung ứng kỹ thuật xã hội kéo dài nhiều năm vào năm 2024.

CVE có ý nghĩa gì đối với bạn

Đối với người dùng thông thường, số CVE xuất hiện trong:

  • Ghi chú bản vá cho hệ điều hành, ứng dụng, trình duyệt của bạn
  • Tin tức về các lỗ hổng lớn
  • Lời khuyên bảo mật từ nhà cung cấp

Bài học rút ra thực tế: khi có tin tức đề cập đến CVE mà bạn đã nghe nói đến, hãy kiểm tra xem phần mềm của bạn có bản cập nhật liên quan hay không. "Có bản cập nhật" là câu trả lời chung cho hầu hết người dùng; cuộc điều tra sâu hơn dành cho những người chịu trách nhiệm quản lý đội tàu.

Đối với các nhà phát triển và nhóm bảo mật, theo dõi CVE, ưu tiên nhận biết KEV và đánh giá mức độ phơi nhiễm theo hướng SBOM hiện là một phần của hoạt động tiêu chuẩn.

Câu hỏi thường gặp

Có phải mọi lỗ hổng đều nhận được CVE không?
Hầu hết các lỗ hổng được tiết lộ công khai đều nhận được CVE, đặc biệt là các lỗ hổng trong phần mềm được triển khai rộng rãi. Các lỗ hổng trong ứng dụng tùy chỉnh, hệ thống nội bộ và các lỗi được khắc phục trước khi tiết lộ thường không nhận được CVE. Hệ thống này bao gồm phần lớn những gì thu hút được sự chú ý của công chúng.
Sự khác biệt giữa MITER và NVD là gì?
MITER (CVE.org) duy trì danh sách CVE - gán mã định danh và mô tả cơ bản. NVD bổ sung thêm phân tích: tính điểm CVSS, lập bản đồ sản phẩm bị ảnh hưởng (CPE), tài liệu tham khảo. Cả hai đều công khai; công cụ thường tiêu thụ cả hai.
Điểm CVSS cao có phải lúc nào cũng có thể thực hiện được không?
Không nhất thiết phải như vậy. CVSS 10 trong phần mềm bạn không sử dụng sẽ không liên quan đến bạn. CVSS 5 đang bị khai thác tích cực thì cấp bách hơn CVSS 9 chưa được khai thác. Danh mục KEV của CISA kết hợp mức độ nghiêm trọng với thực tế khai thác để có mức độ ưu tiên tốt hơn.
Tại sao một số CVE được bảo lưu mà không có thông tin chi tiết?
Trạng thái dành riêng có nghĩa là ID đã được phân bổ nhưng lỗ hổng chưa được tiết lộ công khai. Các nhà cung cấp bảo lưu ID để thảo luận về các lỗ hổng nội bộ trong giai đoạn phát triển bản vá, sau đó điền mục nhập khi việc tiết lộ xảy ra.
Làm cách nào để tìm thấy CVE ảnh hưởng đến phần mềm của tôi?
Lời khuyên bảo mật của nhà cung cấp liệt kê các CVE có liên quan. Tìm kiếm NVD tại nvd.nist.gov tìm kiếm theo nhà cung cấp/sản phẩm. Các công cụ như Snyk, GitHub Dependabot và trình quản lý gói hệ điều hành tự động thực hiện theo dõi CVE dựa trên phần phụ thuộc.
Hệ thống CVE giải thích: Cách thế giới theo dõi các lỗ hổng bảo mật