Pillole di #penetrationtest

Molti sanno che quando si parla di vulnerabilità si parla di "Common Vulnerabilities and Exposure" (CVE). Ma questa è solo una parte della verità.

Questo infatti è solo un database che tiene traccia, mediante degli identificatori, delle descrizioni delle vulnerabilità, esistenti o ancora da individuare. Infatti gli identificatori CVE (CVE-YYYY-XXXXX, dove YYYY è l'anno di riferimento e XXXXX un progressivo) vengono assegnati anche in assenza di una vulnerabilità, sono "riservati", assegnati all'uso futuro per centri di analisi e vendor che potranno utilizzarli per descrivere una vulnerabilità.

Provate ad esempio il seguente https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1000, creato il 06-11-2020, alla data del 30-04-2021 ancora non è assegnato.

Il CVE fornisce solo una "descrizione", ma non è da se capace di consentire l'individuazione di una vulnerabilità, perché questa deve essere legata ad un contesto d'uso, un hardware, un sistema operativo o un software: questo è il compito dello standard "Common Platform Enumeration" (CPE) ed in particolare alle regole di CPE Naming.

Quindi il vero database delle vulnerabilità è quello che tenga conto di CVE per specifici CPE, e questo è quanto fa il database "National Vulnerability Database" (NVD) del NIST: https://nvd.nist.gov/vuln/data-feeds

Tweet