CVE (Lỗ Hổng và Phơi Nhiễm Chung) Là Gì?

CVE là viết tắt của Lỗ Hổng và Phơi Nhiễm Chung. Đây là một hệ thống theo dõi các lỗ hổng an ninh mạng đã được công chúng biết đến.

Mỗi bản ghi CVE có một ID riêng, như CVE-2024-492881, và giải thích một điểm yếu cụ thể trong phần mềm, phần cứng, hoặc firmware mà kẻ tấn công có thể sử dụng để khai thác hệ thống.

Chương trình CVE được khởi xướng bởi MITRE Corporation, một tổ chức phi lợi nhuận được tài trợ bởi chính phủ Hoa Kỳ, tập trung vào an ninh mạng và công nghệ. Ngày nay, MITRE tiếp tục quản lý hệ thống CVE dưới sự giám sát của Hội đồng CVE—một nhóm bao gồm các chuyên gia an ninh, nhà cung cấp, và các bên liên quan toàn cầu. Các tổ chức, nhà cung cấp, công cụ an ninh, và các nhà nghiên cứu trên toàn thế giới sử dụng CVE để theo dõi các lỗ hổng và quản lý các bản vá lỗi.

Tại Sao CVE Quan Trọng Trong An Ninh Mạng

Trước khi có CVE, các nhà nghiên cứu và tổ chức phải dựa vào các hệ thống đặt tên riêng biệt, điều này khiến việc theo dõi các lỗ hổng qua các công cụ và báo cáo khác nhau trở nên khó khăn.

CVE giúp giải quyết vấn đề này bằng cách cung cấp:

• Các định danh nhất quán cho mỗi lỗ hổng
• Tầm nhìn tập trung vào cơ sở dữ liệu an ninh toàn cầu
• Hợp tác dễ dàng hơn giữa các nhà cung cấp, nhà nghiên cứu, và các tổ chức liên quan đến an ninh mạng.

CVE tạo nền tảng cho các công cụ an ninh như máy quét lỗ hổng, SCA, ASPM, và các hệ thống quản lý bản vá lỗi dựa vào ID CVE để phát hiện và ưu tiên các rủi ro.

CVE hoạt động như thế nào?

Mỗi bản ghi CVE trong cơ sở dữ liệu lỗ hổng bao gồm

• Một ID CVE - một định danh duy nhất cho một lỗ hổng
• Mô tả - giải thích về lỗ hổng
• Tham chiếu - các nguồn bên ngoài đáng tin cậy cung cấp thông tin chi tiết về lỗ hổng
• Điểm CVSS - xếp hạng mức độ nghiêm trọng, một xếp hạng cho biết mức độ nghiêm trọng hoặc tác động của một lỗ hổng nếu nó bị khai thác.

Tất cả các CVE được lưu trữ công khai tại cve.org, và cũng được phản ánh trong Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) do NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia), một cơ quan phi quy định của Bộ Thương mại Hoa Kỳ, duy trì.

Lỗ hổng đã biết và chưa biết

Lỗ hổng đã biết

Lỗ hổng mà các tổ chức an ninh và các nhà nghiên cứu đã biết và có thể cung cấp các bản vá để giải quyết các lỗ hổng.

Các lỗ hổng đã biết thường đã được công bố trong các cơ sở dữ liệu như CVE hoặc NVD.

Ví dụ:

CVE-2017-5638 — lỗ hổng Apache Struts bị khai thác trong vụ vi phạm Equifax (2017).

Lỗ hổng chưa biết (Zero-Day)

Đây là những lỗ hổng chưa được phát hiện hoặc chưa được công bố; chúng tồn tại trong phần mềm nhưng chưa được ghi nhận trong các cơ sở dữ liệu CVE.

Kẻ tấn công có thể khai thác chúng trước khi nhà cung cấp phát hành bản vá. Đây là một lỗ hổng rất nguy hiểm.

Ví dụ:

Một lỗ hổng trình duyệt được kẻ tấn công sử dụng trước khi Google hoặc Microsoft phát hành bản sửa lỗi.

Thuật ngữ liên quan

• NVD (Cơ sở Dữ liệu Lỗ hổng Quốc gia)
• CVSS (Hệ thống Chấm điểm Lỗ hổng Chung)
• Lỗ hổng Zero-Day
• Khai thác
• Quản lý Bản vá
• Quản lý Lỗ hổng
• Liệt kê Điểm yếu Chung (CWE)

FAQ: CVE