Das Gedächtnis für Schwachstellen

Was ist ein CVE?

Mit dem Ziel, eindeutige Bezeichnungen für weltweit bekannte Schwachstellen und Sicherheitslücken in Computersystemen bereitzustellen, wurde 1999 der Industriestandard «Common Vulnerabilities and Exposures» (CVE) ins Leben gerufen. Die herstellerübergreifende Liste ermöglicht die gemeinsame Nutzung von Daten zu Schwachstellen und Gefährdungen der Informationssicherheit. 

Für die Verwaltung des CVE-Katalogs ist die gemeinnützige MITRE Corporation verantwortlich. Gemeinsam mit der amerikanischen CISA und dem japanischen JPCERT/CC ist sie berechtigt, eindeutige Namen für Probleme zu vergeben: sogenannte CVE-Nummern. Forscher, Hersteller und Sicherheitsunternehmen können Schwachstellen bei verschiedenen Anlaufstellen melden. MITRE und Co., die so genannte CNAs (CVE Numbering Authorities), überprüfen diese Meldungen und nehmen sie, falls geeignet, in die Liste auf. Weitere Organisationen wie die National Vulnerability Database (NVD) reichern die Einträge aus der CVE-Liste mit wertvollen Zusatzinformationen an, beispielsweise mit einer Kategorisierung der Sicherheitsrisiken.

Jeder CVE-Datensatz besteht aus Folgendem:

• CVE-ID-Nummer, bestehend aus dem Prefix "CVE", dem Jahr der Entdeckung der Schwachstelle und einer fortlaufenden Nummer (z.B. CVE-2021-123456)
• Kurze Beschreibung der Schwachstelle
• Referenzen

Vervielfachung in den letzten Jahren

Mehr als ein Jahrzehnt lang blieb die Anzahl der in der NVD aufgeführten Schwachstellen relativ stabil. Von Jahr zu Jahr schwankte sie meist nur um 10 bis 20 Prozent. Das änderte sich 2017, als sich die Zahl der Meldungen gegenüber dem Vorjahr mehr als verdoppelte. In den Folgejahren stellte sich heraus, dass es sich dabei nicht um eine anomale Spitze handelte. Seither stieg die Zahl der Meldungen kontinuierlich. Die Gründe für den sprunghaften Anstieg im Jahr 2017 lassen sich nicht genau eruieren. Einige Quellen gehen davon aus, dass der Anstieg der Schwachstellen auf eine grössere Sammlung von Softwareprodukten zurückzuführen ist. Zudem könnte die Zunahme der Sicherheitsrisiken auf eine höhere Anzahl von Klassen von Programmierschwächen zurückgehen.

Quelle Daten: National Vulnerability Database, https://nvd.nist.gov, Zahlen gerundet

Präventiver Charakter

Neben der geordneten Erfassung in Form eine Kataloges und dem Schaffen einer gemeinsamen Sprache, dienen die CVE der präventiven Überwachung von Systemen und Anwendungen. So erscheinen sie in Release Notes und dienen als Quelle für Testscripts, beispielsweise zur Überprüfung einer bestimmten installierten Softwareversion auf einem System. Dabei sind sie teilweise systemübergreifend, etwa wenn eine Software sowohl auf Windows als auch auf Linux dasselbe Verhalten aufweist.

Vulnerability Scanning bei aspectra

Die CVE sind fester Bestandteil der täglichen Arbeit bei uns, denn wir prüfen alle gehosteten Systeme regelmässig auf drei Arten:

• Via Internet, inklusive aller vorgeschalteten Systemen wie DDoS-Protection, Firewall, WAF, Loadblancer
• In jeder Netzwerkzone, z.B. alle Anwendungen, die innerhalb einer DMZ eines Kunden sichtbar sind
• Alle Systeme mit lokalen Scripts, z.B. die installierten Softwarepakete mit einem Inventar verglichen

Alle Findings rapportieren wir intern wie extern. Das Patching nehmen wir gemäss entsprechender Vorgaben vor. Bei PCI/DSS-Systemen sind wir beispielsweise verpflichtet, kritische Patches innerhalb von 30 Tagen zu installieren. 

Diesen Prüfungsdiest können alle bei uns als Vulnerability Scanning as a Service (VSaaS) beziehen – unabhängig davon, ob man bereits aspectra-Kunde ist und bereits andere Leistungen bei uns in Anspruch nimmt.

Interessiert an Vulnerability Scanning as-a-Service? Nehmen Sie Kontakt mit uns auf.

• Die neuesten CVE-Einträge auf Twitter
• CVE-Liste bei NVD
• Schubladen für Schwachstellen: Das CVE-System im Überblick
• Die CVE-Liste zum Download