Einleitung
In der Welt der Informationstechnologie ist die Sicherheit von entscheidender Bedeutung. Doch mit zunehmender Komplexität und der schieren Menge verschiedener Software und Hardware sind auch die potenziellen Schwachstellen in den Systemen häufiger und vielfältiger geworden. Die eindeutige Identifizierung und Kommunikation dieser Sicherheitslücken wurde immer schwieriger und war oft uneinheitlich und inkonsistent. Wurden Sicherheitslücken über mehrere Produkte hinweg bewertet und katalogisiert, kam es zu Verwirrung und Doppelungen, sodass nur ineffektiv und ineffizient auf Bedrohungen reagiert werden konnte.
Was ist CVE?
CVE steht für Common Vulnerabilities and Exposures und ist ein Verzeichnis für öffentlich bekannte Schwachstellen. CVEs oder auch CVE-IDs sind gedacht, um Schwachstellen eindeutig zu identifizieren und die Kommunikation über verschiedene Grenzen hinweg zu erleichtern. Dies soll auch die Identifikation ermöglichen, wenn z. B. eine Schwachstelle in verschiedenen Software-Versionen oder Codebasen vorkommt; folglich ist die Sicherheitslücke auch eindeutig identifizierbar, wenn dieser Code in verschiedenen Produkten/Programmen zum Einsatz kommt.
CVE ist …
- ein De-facto-Standard, um Schwachstellen eindeutig zu identifizieren
- ein Verzeichnis von öffentlich bekannten Schwachstellen
- ein Drehpunkt für Schwachstellenscanner, Herstellerinformationen, Patch Management, Security Operations, sowie Sicherheitsforscher, Analysten und Sicherheitsberater
CVE ist kein(e) …
- Schwachstellenbehebung
- es definiert Schwachstellen, was bei der Behebung hilft
- Schwachstellendatenbank
- aber eine Sammlung von Links zu einer Schwachstellen-ID
- Quelle für die Einschätzung des Risikos, Anleitung zur Behebung oder anderen technischen Details
- jede CVE-ID hat eine Beschreibung und Links zu weiterführenden Informationen
- Werkzeug, um Schwachstellen zu veröffentlichen
- CVE benutzt öffentlich vorhandene Informationen von Schwachstellen als Quelle
- Liste von Exploits für Sicherheitslücken
- Proof-of-Concept-Implementierungen und Exploits werden hier nicht aufgelistet
Wer vergibt CVE-IDs?
Die MITRE Corporation verwaltet das CVE-Programm mit Unterstützung des U.S. Department of Homeland Security (DHS) und der Cybersecurity and Infrastructure Security Agency (CISA). Die eigentliche Vergabe wird jedoch von sogenannten CVE Numbering Authorities, kurz CNAs durchgeführt.
CVE Numbering Authorities sind Organisationen, die CVE-IDs an Sicherheitsforscher und Unternehmen ausgeben. Die Ausgabe passiert im Rahmen der erstmaligen öffentlichen Bekanntmachung einer Schwachstelle oder Sicherheitslücke.
Jede CNA hat einen bestimmten Zuständigkeitsbereich. Die Bereiche können Hersteller und deren Produkte sein, die kritische Infrastruktur eines Staats oder einfach alle CVEs eines Staats, die nicht bereits durch andere CNAs abgedeckt sind.
Wer kann eine CVE-ID beantragen?
CVE-IDs können von Hersteller und Entwicklern der betroffenen Produkte selbst beantragt werden. Üblich ist auch die Beantragung durch ein lokales CERT, welches mit der Koordination der Veröffentlichung, der einer Schwachstelle beauftragt wurde oder ein Coordination Center wie CERT/CC.
CVE-IDs können aber auch direkt von einem Analysten oder Researcher beantragt werden, nachdem eine Schwachstelle identifiziert wurde.
Wann sollte eine CVE-ID beantragt werden?
Eine CVE-ID dient zur eindeutigen Identifikation von Schwachstellen. Folglich sollten nur Beantragungen durchgeführt werden, wenn es sich um eine Schwachstelle handelt.
Unterschieden werden kann ein simpler Fehler von einer Schwachstelle durch den fehlenden, manchmal auch nur potenziellen, negativen Einfluss auf eine der 3 Säulen der IT-Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit. Ein Fehler ohne Einfluss auf die Sicherheit ist keine Schwachstelle.
Des Weiteren sollte eine Einschätzung erfolgen, ob eine CVE-ID für eine identifizierte Schwachstelle einen Mehrwert für die Gesellschaft bietet. Es sollten daher die folgenden 3 Punkte zutreffen:
- Informationen über die Schwachstelle müssen öffentlich sein
- Die Gesellschaft muss in der Lage sein, aufgrund der Information zu reagieren und die Schwachstelle zu beheben oder die Auswirkungen zu mindern.
- Es muss ein generelles Interesse über die Sicherheit des betroffenen Produktes in der Gesellschaft geben.
Auch wenn die oben genannten Punkte teilweise individuell ausgelegt werden können, sind sie ein guter Startpunkt bei der Einschätzung zum Mehrwert für die Gesellschaft. Zu guter Letzt sollte noch überprüft werden, ob nicht bereits eine CVE-ID für diese Schwachstelle angemeldet wurde.
Ablauf der Beantragung einer CVE-ID
Der Prozess bzw. der CVE Record Lifecycle wird laut CVE mit folgender Grafik beschrieben und ist in 6 Schritte unterteilt.
- Discover
Eine Person oder eine Organisation entdeckt eine neue Schwachstelle. - Report
Die Schwachstelle wird von der entdeckenden Person/Organisation an einen Teilnehmer des CVE-Programms gemeldet. (Dieser Schritt entfällt, wenn Entdecker und Antragsteller die gleiche Entität sind.) - Request
Ein CVE-Identifier (CVE-ID) wird durch einen Teilnehmer des CVE-Programms beantragt. - Reserve
Die CVE-ID wird reserviert. „Reserviert“ bedeutet hier, die ID kann bereits für die Koordination und das Schwachstellenmanagement genutzt werden. Die CNA wird diese CVE-ID jedoch noch nicht veröffentlichen. - Submit
Weitere Details werden durch Teilnehmer oder z. B. der entdeckenden Person eingereicht. Details können z. B. das betroffene Produkt und Versionen sein sowie der Schwachstellentyp. Zwingend notwendig ist zumindest eine öffentliche Quelle zur Schwachstelle. - Publish
Sobald das Mindestmaß an Daten übertragen wurde, wird der CVE-Eintrag veröffentlicht.
Die Beantragung und auch eventuelle Updates oder die Bitte zur Veröffentlichung können alle gesammelt über das Formular bei CVE durchgeführt werden: https://cveform.mitre.org
Es ist auch durchaus möglich, alle notwendigen Daten im initialen Antrag bereitzustellen, sodass eine Veröffentlichung sogar nach wenigen Stunden erfolgen kann. Üblicherweise werden alle Daten außer dem Link zur veröffentlichten Schwachstelle bereitgestellt. Nachdem die CVE-ID reserviert wurde, kann diese dann koordiniert mit z. B. einem Blogartikel veröffentlicht werden.
Fazit und weiterführende Informationen
Die Veröffentlichung von Schwachstellen unter Nutzung von CVE-IDs bringt verschiedene Vorteile für alle beteiligten Parteien.
Der größte Mehrwert für die verschiedenen Parteien ist eine eindeutige CVE-ID, welche die Kommunikation erleichtert und die Sicherheit gibt, dass alle Parteien über dieselbe Schwachstelle sprechen. Hierbei kann über verschiedene Werkzeuge und Techniken die gleiche Schwachstelle identifiziert werden.
Mit dieser Kommunikationsbasis können Anwender, betroffene Softwarehersteller und Entwickler sowie Sicherheitsforscher und Anbieter für Sicherheitssoftware gemeinsam an konkreten Lösungen arbeiten und die Sicherheit für Unternehmen und Privatpersonen erhöhen.
Die NSIDE wird auch in Zukunft diesen Standard nutzen, um öffentlich bekannte Schwachstellen an Kunden zu kommunizieren und auch bisher nicht bekannte Schwachstellen im Rahmen unseres Coordinated Vulnerability Disclosure Prozesses zu veröffentlichen.
Weitere Informationen zum Thema Veröffentlichung von Schwachstellen, Responsible Vulnerability Disclosure vs. Coordinated Vulnerability Disclosure und welche Vorteile dies auch für Hersteller und Entwickler hat, finden Sie in unserem Blogpost: Offenlegung von Sicherheitslücken.