Common Vulnerabilities and Exposures (CVE) è un sistema standardizzato per identificare e catalogare le vulnerabilità della sicurezza informatica note al pubblico.
Qual è il significato di CVE?
Common Vulnerabilities and Exposures (CVE) è un sistema di identificazione pubblico e standardizzato per sicurezza informatica vulnerabilità, in cui ogni voce assegna un ID univoco (l'identificatore CVE) a uno specifico problema di sicurezza reso pubblico. Un record CVE funge da etichetta di riferimento coerente che strumenti di sicurezza, avvisi, patch note e resoconti di incidenti possono tutti indicare che tutti parlano dello stesso difetto di fondo, anche quando i fornitori o i prodotti lo descrivono in modo diverso.
È importante sottolineare che una voce CVE non rappresenta di per sé un punteggio di gravità o una soluzione. Si tratta piuttosto di una voce di indice che in genere include una breve descrizione e riferimenti a fonti autorevoli (come avvisi dei fornitori o analisi tecniche), consentendo alle organizzazioni di monitorare i prodotti interessati, mappare il problema alle risorse interne, stabilire le priorità di risoluzione e verificare se sono esposti.
Come funziona CVE?
Il CVE funziona trasformando un segnalato vulnerabilità in un record standardizzato a cui l'intero ecosistema di sicurezza può fare riferimento, in modo che strumenti e team possano monitorare lo stesso problema in modo coerente, dalla segnalazione alla risoluzione. Ecco esattamente come funziona:
- Viene individuata e segnalata una potenziale vulnerabilità. Ricercatori, fornitori o utenti identificano una falla di sicurezza e condividono dettagli sufficienti per descrivere cosa è interessato e perché è importante, avviando così il processo di monitoraggio formale.
- Un'autorità di numerazione CVE (CNA) esamina il rapporto. Il CNA (spesso il fornitore o un'organizzazione di coordinamento) convalida che si tratti di una vulnerabilità distinta e raccoglie le informazioni minime richieste per identificarla chiaramente.
- Un ID CVE è riservato e assegnato. La CNA riserva un identificatore univoco (ad esempio, CVE-YYYY-NNNNN), che fornisce a tutti un riferimento stabile mentre l'analisi e il coordinamento proseguono.
- La vulnerabilità è circoscritta e documentata. Vengono chiariti i prodotti/le versioni interessati, la natura del difetto e i riferimenti affidabili, il che riduce la confusione e aiuta i consumatori a valle a mappare il problema sui sistemi reali.
- Il record CVE viene pubblicato nell'elenco CVE. La voce diventa pubblicamente visibile nel catalogo centrale, rendendola rilevabile dagli strumenti di sicurezza, vulnerabilità banche datie feed di consulenza.
- La gravità e la sfruttabilità vengono valutate altrove (spesso tramite CVSS). In genere, i fornitori, NVD o altre fonti forniscono punteggi e analisi più approfondite, il che aiuta le organizzazioni a stabilire le priorità per l'applicazione delle patch, anche se sono separate dall'ID CVE stesso.
- Le organizzazioni utilizzano l'ID CVE per promuovere azioni di correzione e verifica. I team abbinano i CVE alle risorse, applicano patch o mitigazioni e quindi confermano che l'esposizione è stata risolta, utilizzando il CVE come riferimento comune tra scanner, ticket e report.
Formato CVE
Un identificatore CVE è scritto nella forma CVE-AAAA-NNNNN (con l'ultima parte a volte più lunga), in cui ogni elemento contribuisce a rendere l'ID univoco e di facile consultazione. Ecco cosa include:
- CVE: il prefisso che lo contrassegna come ID Common Vulnerabilities and Exposures.
- AAAA: l'anno in cui è stato registrato l'ID CVE assegnato o riservato (non necessariamente l'anno in cui il bug è stato scoperto o reso pubblico).
- NNNNNN…: una sequenza numerica che identifica in modo univoco la vulnerabilità entro quell'anno. È almeno quattro cifre e può essere più di quattro (oggi non esiste una lunghezza massima fissa), il che consente di rilasciare molti documenti d'identità in un solo anno.
Esempio: CVE-2024-3094.
Qual è un esempio di vulnerabilità ed esposizione comune?
Un esempio ben noto è Log4Shell (CVE-2021-44228), un critico esecuzione di codice remoto vulnerabilità nella libreria di registrazione Java Apache Log4j che consentiva agli aggressori di attivare l'applicazione per caricare ed eseguire codice controllato dall'aggressore inviando una stringa appositamente creata che Log4j avrebbe risolto (spesso tramite input registrato).
Cosa si intende per vulnerabilità ed esposizione comune?
Un CVE viene assegnato quando c'è una debolezza distinta e rilevante per la sicurezza che può essere chiaramente descritta e tracciata come un problema a sé stante, in genere un difetto in un prodotto/codice di base specifico che può essere sfruttato per causare un impatto negativo (ad esempio per riservatezza, integrità o disponibilità). Le CNA sono autorizzate ad assegnare ID CVE per le vulnerabilità all'interno del loro ambito definito e a pubblicarli con il primo annuncio pubblico.
In pratica, una questione è generalmente ammissibile quando soddisfa tutte queste condizioni:
- Rappresenta una vulnerabilità identificabile (non una vaga classe di problemi).
- Ci sono informazioni sufficienti per scrivere una descrizione significativa e indicare riferimenti autorevoli.
- Supera il processo decisionale di inclusione della CNA (altrimenti potrebbe essere respinto in quanto non idoneo o riportato in modo improprio).
Sistema di punteggio di vulnerabilità comune (CVSS)
Il Common Vulnerability Scoring System (CVSS) è uno standard aperto per descrivere la gravità tecnica di una vulnerabilità in modo coerente e produrre un punteggio numerico da 0.0 a 10.0, spesso mappato su etichette come Basso/Medio/Alto/CriticoIl suo scopo è aiutare i team a confrontare le vulnerabilità utilizzando lo stesso parametro, ma non è la stessa cosa del rischio, perché il rischio dipende dall'ambiente, dall'esposizione e dall'impatto aziendale.
CVSS funziona selezionando i valori per un insieme definito di metriche e combinandoli in un punteggio. In CVSS v3.x, le metriche sono raggruppate in Base, Temporale e Ambientale. In CVSS v4.0, i gruppi sono Base, Minaccia, Ambientale e Supplementare, riflettendo una separazione più netta tra "gravità intrinseca", "fattori che cambiano nel tempo" e "contesto locale".
Come vengono identificati i CVE?
Le CVE vengono identificate attraverso un processo coordinato in cui viene esaminato un rapporto di vulnerabilità effettivo e quindi fornito un ID CVE univoco da un'organizzazione autorizzata, in modo che tutti possano fare riferimento allo stesso problema in modo coerente. Ecco come identificarlo:
- Una vulnerabilità viene scoperta e segnalata al fornitore interessato o a una CVE Numbering Authority (CNA) (un'organizzazione autorizzata ad assegnare ID CVE).
- La CNA convalida e definisce l'ambito del problema, confermando che rappresenta una vulnerabilità distinta e raccogliendo dettagli sufficienti per descriverlo e collegarlo a riferimenti affidabili.
- Viene riservato/assegnato un ID CVE (ad esempio, CVE-2026-12345), che crea un identificatore stabile che tutti gli strumenti, gli avvisi e i ticket possono utilizzare, anche mentre i dettagli sono ancora in fase di definizione.
- Il record CVE viene pubblicato quando la CNA popola il record (descrizione + riferimenti), spostandolo dallo stato "RISERVATO" a una voce pubblica nell'elenco CVE.
- Se il problema non risulta idoneo o viene ritirato, il record può essere contrassegnato come RIFIUTATO anziché essere pubblicato come CVE valido.
I vantaggi e i limiti del CVE
CVE semplifica il monitoraggio e la comunicazione delle vulnerabilità assegnando a ogni problema un ID coerente a cui strumenti, fornitori e team di sicurezza possono fare riferimento. Allo stesso tempo, CVE è solo un sistema di identificazione, quindi non garantisce una copertura completa, non fornisce una soluzione né riflette il rischio reale di una vulnerabilità nel tuo ambiente specifico.
Vulnerabilità comuni ed esposizioni Benefici
CVE fornisce un modo condiviso per fare riferimento alle vulnerabilità, riducendo l'ambiguità e velocizzando il lavoro di sicurezza tra fornitori, strumenti e team. I principali vantaggi includono:
- Denominazione standardizzata nell'intero ecosistema. Un singolo ID CVE evita la confusione causata da nomi di fornitori diversi o da più descrizioni per lo stesso problema, rendendo coerenti la comunicazione e la segnalazione.
- Monitoraggio più semplice dalla scoperta alla correzione. Gli ID CVE fungono da identificatori durevoli che puoi utilizzare nei ticket, nelle note sulle patch e negli audit per seguire un problema attraverso l'indagine, la mitigazione e la verifica.
- Meglio interoperabilità tra strumenti di sicurezza. Scanner, SIEMLe piattaforme /SOAR, i CMDB e i database delle vulnerabilità possono tutti basarsi sullo stesso ID CVE, migliorando la correlazione e riducendo il lavoro duplicato.
- Coordinamento e intelligence sulle vulnerabilità più rapidi. Avvisi pubblici, descrizioni di exploit e bollettini dei fornitori possono essere collegati tramite il record CVE, aiutando i team a raccogliere rapidamente il contesto senza dover ricorrere a più schemi di denominazione.
- Conformità più chiara e prove di audit. Quando le policy richiedono il monitoraggio delle vulnerabilità note, i CVE forniscono un riferimento accettato che supporta report e documentazione coerenti.
- Input di priorità più affidabili se abbinati a punteggio e contesto. Gli ID CVE consentono di unire dati quali CVSS, attività di exploit, esposizione delle risorse e criticità aziendale, rendendo più strutturata la definizione delle priorità di ripristino.
Vulnerabilità comuni e limitazioni delle esposizioni
La CVE è preziosa per l'identificazione e il coordinamento, ma ha dei limiti che contano quando si definiscono le priorità e si gestisce il rischio reale. I limiti più comuni sono:
- CVE è un sistema di identificazione, non una valutazione del rischio. Una voce CVE non indica quanto sia urgente per il tuo ambiente; hai comunque bisogno di contesto come esposizione, controlli di compensazione e impatto aziendale (spesso insieme a CVSS e informazioni sulle minacce).
- La copertura non è garantita. Non tutti i problemi di sicurezza ricevono una CVE, in particolare i difetti specifici del prodotto che non sono divulgati pubblicamente, i problemi al di fuori dell'ambito CNA o le vulnerabilità che non soddisfano i criteri di assegnazione.
- I dettagli della registrazione possono essere minimi o irregolari. Alcune descrizioni e riferimenti CVE sono brevi e la profondità/qualità delle informazioni varia a seconda del fornitore o del CNA, il che può rendere più difficile la valutazione dell'impatto.
- Per impostazione predefinita, le voci CVE non includono correzioni. Il CVE può essere collegato ad avvisi, ma la disponibilità delle patch, le misure di mitigazione e le soluzioni alternative provengono da fornitori e altre fonti, ma non dal sistema CVE stesso.
- La tempistica può essere in ritardo rispetto alle attività del mondo reale. Una vulnerabilità potrebbe essere sfruttata in natura prima che un CVE venga pubblicato, oppure un CVE potrebbe essere riservato molto prima che siano disponibili i dettagli completi, creando lacune per i difensori.
- La granularità CVE non sempre corrisponde al modo in cui si applica la patch. Un singolo CVE può interessare molte versioni/prodotti e alcune correzioni risolvono più CVE contemporaneamente, quindi la mappatura "CVE → azione patch" non è sempre uno a uno.
Domande frequenti su CVE
Ecco le risposte alle domande più frequenti sul CVE.
CVE contro CWE
| Aspetto | CVE (Vulnerabilità ed esposizioni comuni) | CWE (enumerazione delle debolezze comuni) |
| Cosa rappresenta | Una vulnerabilità specifica e reale presente in un prodotto o sistema. | Una classe generale di debolezza nella progettazione o nell'implementazione di software o hardware. |
| Livello di astrazione | Concreto e basato su istanze. | Astratto e basato su categorie. |
| Domanda tipica a cui risponde | "Di quale vulnerabilità si tratta esattamente?" | "Che tipo di errore ha causato questa vulnerabilità?" |
| Formato dell'identificatore | CVE-AAAA-NNNNN | CWE-NNN |
| Obbiettivo | Una vulnerabilità distinta in un prodotto/versione specifico. | Un modello di debolezza ricorrente che può presentarsi in molti prodotti. |
| Assegnato da | Autorità di numerazione CVE (CNA). | Gestito e curato da MITRE. |
| Cambiamenti nel tempo | Statico una volta pubblicato (potrebbe essere aggiornato o rifiutato, ma fa comunque riferimento allo stesso problema). | Tassonomia in evoluzione man mano che vengono aggiunti o perfezionati nuovi tipi di debolezza. |
| Utilizzato più spesso per | Monitoraggio delle vulnerabilità, applicazione di patch, scansione, conformità, risposta agli incidenti. | Progettazione sicura, revisione del codice, analisi statica, formazione degli sviluppatori. |
| Relazione tra loro | Un CVE può essere mappato su uno o più CWE per spiegarne la causa principale. | Un CWE può essere collegato a molti CVE che condividono la stessa debolezza di fondo. |
| Esempio | CVE-2021-44228 (Log4Shell). | CWE-502 (Deserializzazione di dati non attendibili). |
Chi gestisce i CVE?
I CVE sono gestiti tramite il Programma CVE, supervisionato dal CVE Board e gestito quotidianamente dal CVE Secretariat (attualmente The MITRE Corporation). In pratica, la maggior parte degli ID e dei record CVE viene creata da una rete globale di CVE Numbering Authorities (CNA), in genere fornitori e organizzazioni di sicurezza autorizzate ad assegnare ID CVE entro un ambito definito, mentre il CVE Board fornisce la governance del programma e il Segretariato supporta le operazioni, la qualità e il coordinamento.
Con quale frequenza vengono aggiornati e pubblicati i CVE?
I CVE non seguono un ciclo di rilascio settimanale o mensile. Vengono pubblicati continuamente man mano che le CVE Numbering Authority (CNA) completano il popolamento e il rilascio dei record nell'elenco CVE ufficiale, e i singoli record CVE possono essere aggiornati in qualsiasi momento se diventano disponibili nuovi dettagli o riferimenti. A valle, il National Vulnerability Database (NVD) degli Stati Uniti controlla l'elenco CVE ogni ora per acquisire nuove pubblicazioni, rifiuti e modifiche (tuttavia, le analisi aggiuntive del NVD, come il punteggio e l'arricchimento, potrebbero essere pubblicate in un secondo momento).
I dati CVE sono gratuiti?
Sì. I dati CVE sono gratuiti e pubblicamente accessibili a chiunque. Il Programma CVE rende disponibile l'elenco CVE ufficiale senza costi di licenza o restrizioni d'uso, in modo che organizzazioni, fornitori di sicurezza, ricercatori e privati possano utilizzare ID e record CVE in strumenti, report e servizi. Alcuni database di terze parti potrebbero richiedere un pagamento per analisi a valore aggiunto (come arricchimento, definizione delle priorità o dashboard), ma i dati CVE sottostanti sono aperti.
