¿Qué es un CVE?

Cuando se conoce una vulnerabilidad de seguridad en un paquete de software dado, se debe montar una respuesta para minimizar la probabilidad de que actores malintencionados obtengan acceso a redes y sistemas informáticos protegidos. Para vulnerabilidades graves, la respuesta involucra a varias entidades que trabajan juntas, motivadas por el interés común de mantener sus sistemas y redes libres de interferencias maliciosas. Cuando una vulnerabilidad afecta un paquete que envían, los proveedores de sistemas operativos generalmente están involucrados, ya que tienen un interés personal en mantener sus productos libres de vulnerabilidades de seguridad graves sin parches.

Desde 1999, las vulnerabilidades de seguridad conocidas públicamente han sido rastreadas por el sistema Common Vulnerabilities and Exposures (CVE), que es operado por The MITRE Corporation con fondos del gobierno de EE. UU. Con el tiempo, este sistema se ha convertido en un estándar de facto. Una de las primeras cosas que sucede cuando se conoce una vulnerabilidad es que se le asigna un identificador CVE (número CVE). Es difícil exagerar la importancia de tener un identificador único y estándar para cada vulnerabilidad, y el sistema CVE hace un buen trabajo al proporcionarlo. Una vez asignado, el identificador CVE se puede citar en informes de errores, análisis de amenazas, etc. para facilitar la comunicación.

El identificador CVE está vinculado a una descripción de la vulnerabilidad. Además de explicar brevemente la naturaleza de la vulnerabilidad y cómo podría explotarse, una buena descripción de CVE dejará claro a qué paquete(s) afecta la vulnerabilidad. Idealmente, también indicará claramente qué versión (o rango de versión) del paquete se ve afectada y vinculará a otras fuentes de información sobre la vulnerabilidad.

Cada año, se asignan miles de identificadores CVE a vulnerabilidades (y vulnerabilidades potenciales) en varios paquetes de software. Los proveedores de sistemas operativos como SUSE deben realizar un seguimiento cuidadoso de los CVE para poder responder preguntas como: “Tengo un sistema que ejecuta el producto SUSE xyz. ¿CVE tal o cual afecta ese sistema? y "¿Cuándo se parcheará el CVE?"

No todos los CVE son iguales

Otro aspecto que preocupa mucho a los clientes es la gravedad relativa de cada CVE. Ciertas vulnerabilidades (por ejemplo, aquellas que se pueden activar/explotar de forma remota) se consideran más graves que otras y existe una metodología detallada para evaluar eso: el Sistema de puntuación de vulnerabilidad común (CVSS), versión 3.1. Debido a la dificultad de obtener una comprensión profunda de cada CVE, de los cuales hay potencialmente miles, los clientes confían en empresas como SUSE para juzgar la gravedad relativa de los CVE mediante la aplicación del estándar CVSS para generar una puntuación de gravedad. Debido a la naturaleza subjetiva de aplicar CVSS 3.1 para llegar a un puntaje de severidad, las diversas entidades que publican estos puntajes a menudo obtienen puntajes diferentes para un CVE determinado.

¿Cómo rastrea SUSE los CVE?

SUSE cuando se entera de que un CVE afecta a un paquete que se envía como parte de uno de los productos, una herramienta interna llamada SMASH (un acrónimo que significa "Ayudante de mantenimiento y seguridad de SUSE") selecciona el CVE y un ingeniero de seguridad, después de analizar el problema, determina si el CVE afecta a algún producto de SUSE. Luego, si los productos se ven afectados, el ingeniero continúa investigando qué software, versión de software, productos y flujos de código se ven afectados. En este momento, el ingeniero de seguridad también determina una calificación CVSS 3.1 para el CVE. Toda esta información se ingresa en SMASH. En este punto, se abre un informe de error para CVE en nuestro sistema de seguimiento de errores, https://bugzilla.suse.com. Este informe de error se asigna al mantenedor del paquete de software, cuyo trabajo es dar una segunda mirada a la vulnerabilidad, expresar una opinión sobre ella y luego desarrollar y enviar una solución. Finalmente, los datos de SMASH se utilizan para crear y completar las páginas CVE orientadas al cliente en https://www.suse.com/security/cve/index.html .

Cuando se trata de CVE, la industria automotriz es "especial"

El equipo de automoción de SUSE personaliza los productos empresariales de SUSE para su uso en sistemas integrados, como los automóviles. Los clientes automotrices hacen las mismas preguntas que otros clientes empresariales. Saben qué vehículos están ejecutando qué versiones de nuestro sistema operativo y quieren saber si estas versiones se ven afectadas por CVE por encima de un determinado umbral de gravedad. Algunos clientes están felices de usar las puntuaciones CVSS de SUSE, pero otros prefieren usar las puntuaciones de NVD. Además, también necesitan informes periódicos sobre los CVE pendientes que afectan a sus vehículos, y tienen requisitos específicos en cuanto al contenido y la forma de dichos informes.

Por supuesto, es posible responder a estas preguntas y preparar estos informes manualmente, consultando SMASH y Bugzilla . Sin embargo, este es un proceso lento y propenso a errores. Es mejor realizar un seguimiento de todos los CVE por adelantado, en una base de datos de CVE, y mantener herramientas que nos permitan consultar la base de datos y generar informes según sea necesario. Lo que necesitamos, entonces, es una vista "específica del automóvil" de los datos CVE, adecuada para responder rápidamente a las preguntas que nos hacen nuestros clientes y generar los informes que necesitan para sus esfuerzos de cumplimiento. Afortunadamente, no necesitamos comenzar desde cero porque SMASH proporciona una API REST que podemos usar para obtener los datos de CVE.

Generación de tablas e informes CVE con cvetool

El equipo de ingeniería automotriz de SUSE mantiene una herramienta, llamada "cvetool", que procesa los datos CVE sin procesar de SMASH, extrae la información relevante y nos la presenta en un formato que facilita responder las preguntas de los clientes sobre CVE. Dado que esta información debe actualizarse continuamente, la automatización del proceso de actualización es crucial. Parte de la información específica del caso de uso automotriz y que necesitan nuestros clientes no está incluida en lo que obtenemos de SMASH , por lo que debemos agregarla, al menos para aquellos CVE cuya calificación de gravedad está por encima del umbral de informe del cliente. Por lo tanto, con la ayuda de cvetool, los datos seleccionados obtenidos de SMASH se combinan con los resultados de nuestras investigaciones internas para producir un conjunto de tablas CVE .que se almacenan en git y se cargan periódicamente en la instancia interna de Confluence de SUSE para su visualización y lectura . Esto también permite varias vistas y exportaciones de los datos: CVE ordenados por año, CVE corregidos en determinadas versiones, CVE destacados por paquete o puntuación de gravedad, etc. La herramienta también sabe cómo generar informes de CVE que se pueden adaptar para satisfacer las necesidades individuales de cada cliente. requisitos de conformidad.