Wat is CVE (Common Vulnerabilities and Exposures)?

CVE staat voor Common Vulnerabilities and Exposures. Het is een systeem dat bijhoudt welke cybersecurity kwetsbaarheden al bekend zijn bij het publiek.

Elke CVE-record heeft zijn eigen ID, zoals CVE-2024-492881, en beschrijft een specifieke zwakte in software, hardware of firmware die aanvallers kunnen gebruiken om het systeem uit te buiten.

Het CVE-programma werd gelanceerd door MITRE Corporation, een door de Amerikaanse overheid gefinancierde non-profitorganisatie gericht op cybersecurity en technologie. Tegenwoordig blijft MITRE het CVE-systeem beheren onder toezicht van de CVE Board—een groep die bestaat uit beveiligingsexperts, leveranciers en wereldwijde belanghebbenden. Organisaties, leveranciers, beveiligingstools en onderzoekers wereldwijd gebruiken CVE om kwetsbaarheden bij te houden en patches te beheren.

Waarom CVE belangrijk is in cybersecurity

Voor CVE vertrouwden onderzoekers en organisaties op afzonderlijke naamgevingsschema’s, wat het moeilijk maakte om kwetsbaarheden bij te houden in verschillende tools en rapporten.

CVE helpt dit probleem op te lossen door het aanbieden van:

• Consistente identificatoren voor elke kwetsbaarheid
• Gecentraliseerde zichtbaarheid in de wereldwijde beveiligingsdatabase
• Eenvoudigere samenwerking tussen leveranciers, onderzoekers en organisaties die betrokken zijn bij cybersecurity.

CVE vormt de basis voor beveiligingstools zoals kwetsbaarheidsscanners, SCA, ASPM en patchbeheer systemen die afhankelijk zijn van CVE-ID’s om risico’s te detecteren en te prioriteren.

Hoe werkt CVE?

Elke CVE-record in de kwetsbaarheidsdatabase bevat

• Een CVE-ID - een unieke identificatie voor een kwetsbaarheid
• Een Beschrijving - uitleg van de kwetsbaarheid
• Referenties - betrouwbare externe bronnen die gedetailleerde informatie over de kwetsbaarheid bieden
• Een CVSS-score - ernstbeoordeling, een beoordeling die aangeeft hoe ernstig of impactvol een kwetsbaarheid is als deze wordt uitgebuit.

Alle CVE’s worden openbaar opgeslagen op cve.org, en ook gespiegeld in de National Vulnerability Database (NVD) onderhouden door NIST (National Institute of Standards and Technology), een niet-regulerend agentschap van het Amerikaanse Ministerie van Handel.

Bekende vs. Onbekende Kwetsbaarheden

Bekende Kwetsbaarheden

Kwetsbaarheden waarvan beveiligingsorganisaties en onderzoekers op de hoogte zijn en waarvoor ze patches kunnen leveren om de kwetsbaarheden aan te pakken.

De bekende kwetsbaarheden zijn vaak al gepubliceerd in databases zoals CVE of NVD.

Voorbeeld:

CVE-2017-5638 — de Apache Struts kwetsbaarheid uitgebuit in de Equifax-inbreuk (2017).

Onbekende (Zero-Day) Kwetsbaarheden

Dit zijn onontdekte of niet-gepubliceerde gebreken; ze bestaan in software maar zijn nog niet gedocumenteerd in CVE-databases.

Aanvallers kunnen ze uitbuiten voordat de leverancier een patch uitbrengt. Dit is een gebrek dat zeer gevaarlijk is.

Voorbeeld:

Een browserkwetsbaarheid wordt door aanvallers gebruikt voordat Google of Microsoft een oplossing uitbrengt.

Gerelateerde Termen

• NVD (Nationaal Kwetsbaarheidsdatabase)
• CVSS (Gemeenschappelijk Kwetsbaarheidsscoresysteem)
• Zero-Day Kwetsbaarheid
• Exploit
• Patchbeheer
• Kwetsbaarheidsbeheer
• Gemeenschappelijke Zwakte-opsomming (CWE)

FAQ: CVE