Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 10 Aprile 2023 09:37
L’obiettivo principale della sicurezza informatica è la gestione delle vulnerabilità. Nel raggiungere questo obiettivo, la CVE aiuta gli specialisti, che sono parte integrante della comunità della sicurezza delle informazioni.
Sicuramente, se sei un lettore di RHC avrai già sentito questo acronimo, ma nello specifico, cosa significa?
In questo articolo, esamineremo la definizione e la storia del CVE e come questo indicatore viene utilizzato dai criminali informatici e dagli hacker etici.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’abbreviazione CVE sta per Common Vulnerabilities and Exposures ed è un database di vulnerabilità di sicurezza delle informazioni comunemente note. Il sistema è attivamente supportato dai centri di ricerca e sviluppo finanziati a livello federale (FFRDC) gestiti dalla MITRE Corporation.
Poiché MITRE è un’organizzazione senza scopo di lucro, il CVE è finanziato dalla National Cyber Security Division (NCSD) degli Stati Uniti D’America.
Le vulnerabilità sono difetti di sistema che creano punti deboli all’interno di una infrastruttura informatica che possono essere sfruttati da un malintenzionato.
Le vulnerabilità possono derivare da qualsiasi cosa, dal software senza patch a una porta USB non protetta. Le vulnerabilità potrebbero consentire a un utente malintenzionato di:
Un semplice errore consente un attacco informatico a un’organizzazione. Ciò può includere il furto di dati sensibili, che vengono poi venduti nel dark web.
La maggior parte degli incidenti informatici sono causati da bug di sicurezza e successivi exploit divenuti pubblici.
Il concetto originale del database CVE ha avuto origine in un white paper del 1999 intitolato “Towards a Common Enumeration of Vulnerabilities”, scritto da Steven M. Christie e David E. Mann della MITRE Corporation.
Christie e Mann hanno riunito un gruppo di lavoro di 19 specialisti e hanno compilato un elenco di CVE iniziale di 321 voci.
Nel settembre 1999 il registro è diventato pubblicamente disponibile. Dal lancio del CVE nel 1999, diverse società di sicurezza delle informazioni si sono aggiunte all’elenco delle vulnerabilità. A dicembre 2000, 29 organizzazioni partecipavano all’iniziativa con 43 bug di sicurezza.
CVE è stato utilizzato come punto di partenza per il NIST National Vulnerability Database (NVD).
Il CVE si espande con ogni organizzazione che entra a far parte di MITRE come collaboratore. Un elenco completo dei partner può essere trovato su CVE.org .
Tutti i CVE sono difetti di sicurezza, ma non tutti i difetti sono CVE.
Un difetto è dichiarato da un CVE quando soddisfa tre criteri specifici:
A parte il MITRE, la numerazione delle CVE può essere anche “battezzata” da altre realtà che vengono chiamate CVE Numbering Authorities (CNA).
A ciascuna vulnerabilità CVE viene assegnato un numero (CVE Identifier o CVE ID) da una delle 222 (ad oggi) CVE Numbering Authorities (CNA) di 34 paesi.
Secondo il MITRE, le CNA sono rappresentate da organizzazioni che vanno da fornitori di software e progetti open source a fornitori di servizi di ricerca di bug e gruppi di ricerca.
Tutte queste organizzazioni hanno il diritto di assegnare identificatori CVE e pubblicarne i record come parte del programma CVE. Nel corso degli anni, aziende di vari settori hanno aderito al programma CNA. I requisiti per l’ingresso sono minimi e non richiedono un contratto o un contributo monetario.
Lo standard internazionale per gli identificatori CVE è CVE-xxxx-yyyyy. [xxxx] — anno in cui è stata scoperta la vulnerabilità. [yyyyy] è il numero di serie assegnato dai rispettivi CNA.
Migliaia di nuove vulnerabilità vengono pubblicate ogni anno da quando il programma è stato fondato nel 1999.
Al momento in cui scriviamo, ci sono già 178.569 voci nell’elenco CVE. Questo ha una media di 7.763 vulnerabilità e impatti all’anno.
Degli oltre 178.000 CVE, più della metà è di proprietà dei primi 50 fornitori di software in tutto il mondo. Ad esempio, Microsoft e Oracle hanno segnalato oltre 6.000 difetti nei loro prodotti.
Il database CVE è stato creato per facilitare lo scambio di informazioni sulle vulnerabilità note tra le organizzazioni.
Gli identificatori CVE consentono al professionista della sicurezza informatica di trovare facilmente informazioni sui difetti in diverse fonti autorevoli utilizzando lo stesso identificatore di vulnerabilità.
Inoltre, CVE fornisce una solida base per consentire a un’azienda di comprendere la necessità di investire in una maggiore sicurezza. Un’organizzazione può ottenere rapidamente informazioni accurate su un particolare exploit da più fonti certificate, consentendole di assegnare correttamente la priorità di riparazione.
Una volta che una vulnerabilità diventa di dominio pubblico, un criminale informatico ha tutti il tempo per sfruttarla in scopi dannosi. Un utente malintenzionato può sfruttare un bug prima che venga corretto dal fornitore del software.
La condivisione delle informazioni nella comunità della sicurezza informatica è un modo affidabile per ridurre il numero di attacchi informatici e introdurre nuove soluzioni di sicurezza informatica.
Il CVE è un elemento necessario nel percorso verso il miglioramento dei prodotti e il mantenimento della protezione degli utenti e delle aziende globali e si basa su etica e trasparenza.
Se hai un mano uno 0-day, pensa sempre a questo.
RedazioneUn utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...
Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...
A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...
