Qu'est-ce qu'un CVE ?

Il y a de fortes chances que vous ayez entendu parler de "CVE", l'acronyme de Common Vulnerabilities and Exposures (vulnérabilités et expositions communes). Les CVE sont répertoriés dans une vaste base de données qui recense les problèmes de sécurité informatique connus. Cela permet d'y accéder et de s'y référer facilement. Par conséquent, si vous entendez quelqu'un parler d'un CVE - ou d'un enregistrement CVE - cela signifie que la faille de sécurité est connue et qu'elle a déjà été répertoriée.

L'intérêt du suivi des CVE est le suivant : le partage et le catalogage des failles de sécurité connues permettent aux responsables de la cybersécurité d'établir des priorités et de traiter les vulnérabilités tout en rendant le nuage, le code et tout autre système informatique plus sûrs.

Fondamentalement, le système CVE fournit un langage commun et un point de référence. Mais - et c'est le grand "mais" - gardez à l'esprit que mon problème n'est peut-être pas le vôtre !

Qui gère la base de données CVE ?

La société MITRE corporation supervise le système CVE, et tous les enregistrements CVE peuvent être consultés et utilisés gratuitement par le public. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) contribue au financement. Les entrées CVE sont courtes et simples - il n'y a pas de données techniques approfondies. Les entrées CVE ne contiennent pas non plus de commentaires sur les corrections, les risques et les impacts. Les détails de détail sont enregistrés dans d'autres bases de données. Parmi celles-ci, citons la base de données américaine sur les vulnérabilités (U.S. National Vulnerability Database (NVD) et les la base de données des notes de vulnérabilité du CERT/CC.

À quoi ressemble un identifiant CVE ?

L'identifiant CVE est comme un numéro de série. Lorsque vous consultez une entrée CVE, vous voyez l'ID CVE, qui ressemble à ceci : "CVE-YYYY-#####".

Que comprend un dossier CVE ?

Un enregistrement CVE comprend les informations suivantes :

• ID CVE
• Description
• Références
• Affectation de l'ANC
• Date de création de l'enregistrement

Les enregistrements CVE comprennent également des éléments anciens, qui ne sont pas pertinents pour les nouvelles entrées : phase, votes, commentaires, propositions.

Comment trouvent-ils les vulnérabilités et les expositions ?

Tout le monde peut les signaler, qu'il s'agisse d'une entreprise technologique ou d'un utilisateur curieux. Certains offrent même des récompenses pour la découverte et le signalement de ces problèmes. S'il s'agit d'un logiciel libre, tout repose sur le soutien de la communauté.

Lorsqu'une vulnérabilité est signalée, l'ANC lui attribue un identifiant CVE, rédige une brève description et ajoute quelques références. La vulnérabilité est ensuite publiée sur le site web du CVE. Parfois, ils obtiennent même un identifiant avant que le problème ne soit rendu public. Cela permet de tenir les méchants à distance.

Tous les numéros ne font pas l'objet d'un CVE. Bien sûr, il y a des règles ! Trois critères principaux s'appliquent :

1. Corrigeable de manière indépendante. Cela signifie que la faille peut être corrigée, qu'elle est indépendante et qu'elle n'est pas liée à d'autres bogues.
2. Reconnu par le fournisseur. Cela signifie que le fournisseur reconnaît que le bogue existe et qu'il pourrait avoir un impact négatif sur la sécurité. Une autre option est de disposer d'un rapport de vulnérabilité partagé qui inclut une description de l'impact négatif du bogue et de la manière dont il viole la politique de sécurité du système.
3. Ne concerne qu'une seule base de code. S'il affecte plus d'un produit, ils reçoivent des CVE distincts. L'idée est de créer des enregistrements CVE en les isolant le plus possible.

Comment puis-je trouver les dossiers du CVE ?

Tout d'abord, les informations de CVE sont gratuites et accessibles au public. C'est donc une bonne nouvelle.

Le moyen le plus simple de trouver les CVE les plus récents est de suivre le lien suivant @CVEnew sur X. Ce flux est constamment mis à jour avec des tweets sur de nombreux nouveaux CVE chaque jour. Hier encore, j'ai regardé et il y avait plus de 80 nouveaux CVE ! Si vous suivez @CVEnew, votre flux en sera rempli !

Que diriez-vous d'un moyen plus complet de trouver les dossiers CVE antérieurs ? Si vous souhaitez obtenir tous les enregistrements depuis 1999 ou une année particulière, ou encore effectuer une recherche par thème, il vous suffit de vous rendre à l'adresse suivante CVE.org/Téléchargements. Les fichiers en vrac sont désormais au format JSON 5.0 et peuvent être téléchargés via un dépôt dépôt GitHub. (Remarque : l'ancien système de classement ne sera plus disponible à partir du 1er janvier 2024).

CVEdetails.com propose une version en ligne facile à utiliser de la base de données - avec des mises à jour quotidiennes !

Comment faire correspondre vos bibliothèques au bon CVE ?

Lors de l'analyse d'une vulnérabilité, vous souhaitez récupérer le bon CVE. Pour être sûr d'avoir le bon CVE, la meilleure pratique consiste à vérifier le numéro de version et le nom du paquet. Il existe de nombreux outils, tels que Trivy, qui le font automatiquement pour vous. (Aikido utilise Trivy pour certaines de ces fonctionnalités).

Système commun d'évaluation des vulnérabilités - CVSS

La NVD et d'autres organismes utilisent le système CVSS (Common Vulnerability Scoring System), qui détermine la gravité d'une vulnérabilité ou d'une exposition. Il s'agit en quelque sorte d'un bulletin de notes pour les problèmes de sécurité, allant de 0.0 (pas de problème) à 10.0 (énorme problème). Chaque entrée du CVE a donc un score CVSS.

Comment est calculé le score CVSS ?

Le score CVSS est calculé à l'aide d'une formule basée sur des mesures de vulnérabilité. Le score CVSS est obtenu à partir des scores obtenus dans les trois domaines suivants : base, temporel et environnemental : Base, Temporel et Environnemental. Le score de base est obligatoire et constitue le point de départ ; il comporte des sous-scores d'impact et d'exploitabilité. La note temporelle peut ensuite être calculée à partir de la note de base. Enfin, la note environnementale peut être calculée à partir de la note temporelle. Ces calculs aboutissent au score CVSS global.

De quoi ravir les amateurs de formules ! Découvrez comment le système de notation et le calculateur CVSS fonctionnent. Découvrez quels sont les calculs et quelles sont les mesures précises qui permettent d'obtenir chaque score. Vecteur d'attaque ! Complexité de l'attachement ! Beaucoup de plaisir !

Qu'est-ce que l'échelle de notation CVSS ?

L'échelle de notation CVSS actuelle (v3.1) comprend cinq catégories :

• 9,0 - 10,0 = Critique
• 7,0 - 8,9 = élevé
• 4,0 - 6,9 = Moyen
• 0,1 - 3,9 = Faible
• 0.0 = Aucun

Télécharger une copie du guide complet de l'utilisateur du système de notation Guide de l'utilisateur du système de notation CVSS.

Comment trouver le score CVSS d'un enregistrement CVE ?

C'est facile ! Lorsque vous êtes dans la base de données en ligne, chaque page d'enregistrement CVE contient un lien vers le score CVSS de la NVD. Il suffit de cliquer et c'est parti ! Par exemple, en utilisant le CVE-2023-40033 mentionné plus haut dans ce billet, lorsque nous cliquons sur "CVSS scores" (en haut à droite de l'enregistrement), nous apprenons que cette vulnérabilité a un score de 7.1 (élevé).

Qu'est-ce qu'un CWE ?

L'énumération des faiblesses communes (Common Weakness Enumeration ou CWE) est une liste de faiblesses logicielles et matérielles communes. La CWE est une ressource développée par la communauté et fournit une normalisation du type et de la portée des faiblesses.

Pour citer MITRE, "l'objectif principal de CWE est d'arrêter les vulnérabilités à la source ... d'éliminer les erreurs les plus courantes avant que les produits ne soient livrés". CWE offre également aux développeurs un cadre de discussion et d'action contre les menaces à la sécurité, tout en s'inscrivant dans les bases de données de vulnérabilités (par exemple CVE).

En quoi cela diffère-t-il de CVE ? CWE se concentre sur la faiblesse sous-jacente qui pourrait conduire à une vulnérabilité. Le CVE, quant à lui, décrit les vulnérabilités réelles. Comme CVE, CWE dispose également d'un système d'évaluation de la gravité via CWSS et CWRAF.

Jetez un coup d'œil aux 25 CWE les plus dangereux pour 2023.

Que puis-je faire pour maintenir un niveau de sécurité élevé ?

Ne suivez pas aveuglément les scores CVSS pour définir vos priorités en matière de sécurité

Tous les CVE vous posent-ils un problème ? Non. Il s'agit d'informations, mais comme beaucoup d'informations, toutes les CVE ne sont pas pertinentes dans votre contexte. Et, même pour ceux qui semblent l'être, il existe de nombreuses situations où même les CVE ayant un score CVSS élevé peuvent ne pas être pertinents ou ne pas représenter un risque pour vous :

1. Niveau d'impact sur l'entreprise : Une vulnérabilité, bien qu'ayant un score CVSS élevé, ne représente pas un risque significatif pour les activités spécifiques de l'organisation, les données des clients ou les systèmes critiques. Ou bien, une évaluation des risques ou un autre outil détermine que d'autres facteurs (par exemple, une fonction n'est pas accessible) l'emportent sur le score CVSS en termes d'importance.
2. Systèmes uniques : Lors de l'utilisation de logiciels personnalisés ou uniques, les scores CVSS peuvent ne pas refléter avec précision le risque réel associé aux vulnérabilités dans des systèmes spécifiques.
3. Limitation des ressources : Vous aimeriez bien corriger toutes les vulnérabilités CVSS qui obtiennent un score élevé, mais il faut être réaliste. Établissez des priorités avant de consacrer des tonnes de ressources à quelque chose qui n'est pas rentable.
4. Déjà couvert : Vous avez peut-être déjà mis en place de solides défenses. Même si une vulnérabilité obtient un score élevé, vous pouvez décider qu'elle ne vaut pas la peine d'être mise en avant si vous avez déjà mis en place des mesures de protection pour la contrôler.
5. Sensibilisation aux CWE : Restez attentif aux CWE susceptibles d'avoir une incidence sur ce que vous livrez.

Se doter d'un scanner de vulnérabilité

De nouvelles plateformes apparaissent également pour vous aider à repérer les tendances émergentes. Fletchqui se spécialise dans la vitesse de prise de conscience et la contextualisation des menaces. Nessus analyse plus de 59 000 CVE. Nexpose utilise son propre système de notation qui tient compte de l'ancienneté des vulnérabilités et des correctifs et remèdes déjà en place. Nmap et OpenVAS sont des scanners de vulnérabilités open-source.

En attendant, pourquoi ne pas tester Aikido Security pour contrôler et améliorer votre position globale en matière de sécurité ? Essayez Aikido gratuitement !

Prendre de l'avance sur le CurVE

Le problème avec les CVE, c'est qu'ils concernent le PASSÉ, c'est-à-dire les vulnérabilités et les expositions qui se sont déjà produites. Cela signifie que les mauvais acteurs ont parfois le temps de faire des dégâts avant que vous n'ayez le temps de réagir. Outre l'utilisation d'un scanner de vulnérabilités, veillez à prendre des mesures pour gérer vos risques. Il peut s'agir de s'assurer que les correctifs sont à jour et d'effectuer des tests de pénétration.

TL;DR sec fournit une bonne analyse de la chaîne d'approvisionnement en logiciels et, plus important encore, de la façon de la sécuriser, comment sécuriser chaque étape.

De plus, nous aimons tenir les utilisateurs d'Aikido (gratuits et payants) et nos followers LinkedIn au courant avec des posts LI pertinents. Par exemple, voici un billet récent sur la CVE-2023-4911 - le bug (pas si drôle) des Looney Tunables.

Vérifiez que votre code ne contient pas les exploits les plus courants

Utiliser le Top 10 de l'OWASP et conformité CIS pour vérifier votre code. Ces outils standard vous aident à traiter les faiblesses les plus courantes (OWASP) et les configurations de base pour la cybersécurité (CIS).

Découvrez comment vous obtenez un score direct en Aïkido : Rapport CIS / Rapport OWASP Top 10