Was ist CVE (Common Vulnerabilities and Exposures)?

CVE steht für Common Vulnerabilities and Exposures. Es ist ein System, das bekannte öffentlich zugängliche Schwachstellen in der Cybersicherheit verfolgt.

Jeder CVE-Eintrag hat eine eigene ID, wie CVE-2024-492881, und beschreibt eine spezifische Schwachstelle in Software, Hardware oder Firmware, die Angreifer ausnutzen könnten, um das System zu kompromittieren.

Das CVE-Programm wurde von der MITRE Corporation ins Leben gerufen, einer von der US-Regierung finanzierten gemeinnützigen Organisation, die sich auf Cybersicherheit und Technologie konzentriert. Heute verwaltet MITRE weiterhin das CVE-System unter der Aufsicht des CVE-Boards – einer Gruppe, die Sicherheitsexperten, Anbieter und globale Interessengruppen umfasst. Organisationen, Anbieter, Sicherheitstools und Forscher weltweit nutzen CVE, um Schwachstellen zu verfolgen und Patches zu verwalten.

Warum CVE in der Cybersicherheit wichtig ist

Vor CVE verließen sich Forscher und Organisationen auf unterschiedliche Benennungsschemata, was es schwierig machte, Schwachstellen über verschiedene Tools und Berichte hinweg zu verfolgen.

CVE hilft, dieses Problem zu lösen, indem es bietet:

• Konsistente Identifikatoren für jede Schwachstelle
• Zentralisierte Sichtbarkeit in die globale Sicherheitsdatenbank
• Einfachere Zusammenarbeit zwischen Anbietern, Forschern und Organisationen, die in der Cybersicherheit tätig sind.

CVE bildet die Grundlage für Sicherheitstools wie Schwachstellenscanner, SCA, ASPM und Patch-Management-Systeme, die auf CVE-IDs angewiesen sind, um Risiken zu erkennen und zu priorisieren.

Wie funktioniert CVE?

Jeder CVE-Eintrag in der Schwachstellendatenbank enthält

• Eine CVE-ID - eine eindeutige Kennung für eine Schwachstelle
• Eine Beschreibung - Erklärung der Schwachstelle
• Referenzen - vertrauenswürdige externe Quellen, die detaillierte Informationen über die Schwachstelle bereitstellen
• Ein CVSS-Score - Schweregradbewertung, eine Bewertung, die angibt, wie ernst oder einflussreich eine Schwachstelle ist, wenn sie ausgenutzt wird.

Alle CVEs werden öffentlich auf cve.org gespeichert und auch in der National Vulnerability Database (NVD) gespiegelt, die vom NIST (National Institute of Standards and Technology) gepflegt wird, einer nicht-regulierenden Behörde des US-Handelsministeriums.

Bekannte vs. Unbekannte Schwachstellen

Bekannte Schwachstellen

Schwachstellen, die Sicherheitsorganisationen und Forscher kennen und für die sie Patches bereitstellen können, um die Schwachstellen zu beheben.

Die bekannten Schwachstellen sind oft bereits in Datenbanken wie CVE oder NVD veröffentlicht.

Beispiel:

CVE-2017-5638 — die Apache Struts-Schwachstelle, die beim Equifax-Datenleck (2017) ausgenutzt wurde.

Unbekannte (Zero-Day) Schwachstellen

Dies sind unentdeckte oder nicht offengelegte Schwachstellen; sie existieren in Software, sind aber noch nicht in CVE-Datenbanken dokumentiert.

Angreifer können sie ausnutzen, bevor der Anbieter einen Patch veröffentlicht. Dies ist eine Schwachstelle, die sehr gefährlich ist.

Beispiel:

Eine Browserschwachstelle wird von Angreifern genutzt, bevor Google oder Microsoft eine Lösung veröffentlicht.

Verwandte Begriffe

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Zero-Day Vulnerability
• Exploit
• Patch Management
• Vulnerability Management
• Common Weakness Enumeration (CWE)

FAQ: CVE