CVE (CVE)

Введение

CVE (Common Vulnerabilities and Exposures) – стандарт идентификации публично известных уязвимостей в программном и аппаратном обеспечении. Каждая уязвимость получает уникальный идентификатор CVE-ID вида CVE-YYYY-NNNNN (год публикации и порядковый номер). Проект создан и управляется корпорацией MITRE при финансировании CISA (Агентство по кибербезопасности и безопасности инфраструктуры США).

CVE является общим языком, позволяющим ИБ-специалистам, вендорам, сканерам и CERT однозначно ссылаться на конкретную уязвимость без двусмысленности. Например, CVE-2021-44228 (Log4Shell) – критическая уязвимость в Log4j, повлёкшая массовые инциденты.

История и контекст

CVE запущен в 1999 году MITRE Corporation при поддержке DARPA. Изначально база содержала несколько сотен записей; сегодня насчитывает более 250 000 CVE. Параллельно NIST ведёт NVD (National Vulnerability Database) – обогащает CVE-записи CVSS-баллами, CPE-данными и ссылками на патчи. В России ФСТЭК ведёт собственную базу – БДУ ФСТЭК – включающую как CVE-уязвимости, так и специфичные для российских систем.

Как устроен CVE

• CVE-ID – уникальный идентификатор: год, номер (CVE-2024-12345).
• CNA (CVE Numbering Authority) – организации, авторизованные присваивать CVE-ID (вендоры, CERT, исследовательские центры). Крупные вендоры (Microsoft, Google, Cisco) – собственные CNA.
• CVSS Score – критичность, добавляемая NVD.
• CWE (Common Weakness Enumeration) – классификация типа слабости (например, CWE-79 XSS, CWE-89 SQL Injection).

Жизненный цикл CVE: исследователь обнаруживает уязвимость → ответственное раскрытие вендору → CNA присваивает CVE-ID → публикация в базе (обычно после выхода патча или истечения эмбарго 90 дней).

Где применяется

• Vulnerability Scanners – Nessus, MaxPatrol сверяются с CVE для обнаружения уязвимостей.
• SIEM – корреляция событий с CVE для обнаружения эксплойтов.
• Patch Management – идентификация какой патч закрывает конкретный CVE.
• Threat Intelligence – отслеживание активно эксплуатируемых CVE в дикой природе.
• Регуляторная отчётность – КНПБ ФСБ, бюллетени ФСТЭК, отчёты о выполнении требований.

Преимущества и ограничения

Единый язык для отрасли; открытый доступ; поддержка тысяч инструментов. Ограничения: не все уязвимости получают CVE (внутренние уязвимости вендоров, проприетарный код); задержки между обнаружением и публикацией (Zero-day); CVE-ID не содержит информации о наличии патча или эксплойта.

Связь с другими понятиями

CVE – основная идентификационная система для CVSS-оценок. Индексируется в NVD и БДУ ФСТЭК. Является целью Vulnerability Scan и результатом Pentest. Уязвимости без CVE называются Zero-day.