CVEs und warum sie wichtig sind
CVE bedeutet „Common Vulnerabilities and Exposures“. CVEs sind also bekannte Schwachstellen und Anfälligkeiten. Diese werden in einer zentralen Datenbank gesammelt, von der es wiederum mehrere Derivate gibt, welche einen Teil oder besondere Schwerpunkte der zentralen Datenbank wiedergeben. Die Verwaltung dieser Datenbank wird von der Mitre Corporation übernommen. Dort können Schwachstellen und Anfälligkeiten gemeldet werden. Die daraus resultierende Datenbank wird wiederum vom National Institute of Standards and Technology (NIST) in Echtzeit indexiert (https://nvd.nist.gov).
CVEs erhalten nach ihrer Prüfung einen Score nach dem CVSS (Common Vulnerability Scoring System). Der aktuelle Standard liegt hierbei bei der Version 3.1. In dieser Version setzt sich die Berechnung des Basis-Scores aus den folgenden Hauptkriterien zusammen:
- Exploitability: Wie einfach kann die Lücke ausgenutzt werden?
- Impact: Nach CIA (Confidentiality, Integrity, Availability) – Können Daten gestohlen werden (C)? Können Daten verändert werden(I)? Können Daten gelöscht oder der Zugriff verhindert werden (A)?
- Scope: Ist nur ein Produkt oder System betroffen oder kann sich ein Angreifer über diese Lücke auf nachfolgende Systeme/Produkte Zugriff verschaffen?
Darüber hinaus gibt es noch eine „Temporal Metric Group“ und eine „Environmental Metric Group“. Mit diesen Metriken kann der Score noch genauer auf das spezifische System angepasst werden.
Die Eingruppierung des CVSS Scores erfolgt von 0 bis 10 (wobei 0 unkritisch und 10 kritisch bedeutet). Dazwischen nimmt das System folgende Abstufungen vor:
- Niedrig: 0.1 – 3.9
- Mittel4: .0 – 6.9
- Hoch: 7.0 – 8.9
- Kritisch: 9.0 – 10.0
Wie mir ein ehemaliger Kollege mal mit einem Blogbeitrag von Felix von Leitner einmal verdeutlichte
„[…] wenn da Critical dran steht, dann ist das ein Fall von „Mittagessen fällt aus, wir installieren den Patch JETZT“. Das Wort nimmt man nicht in den Mund, außer die Scheune brennt. […] Critical heißt „du fixt das jetzt oder deine User können morgen nicht arbeiten und deine Firmendaten werden im Darkweb versteigert“.“
Felix von Leitner (https://blog.fefe.de/?ts=9f756cc8)
Dementsprechend ist eine CVE-Datenbank die erste Anlaufstelle für Pentester oder auch Hacker. So könnte man sich ebenfalls ein Bild von einer Software machen. In diesem Beispiel habe ich ein prominentes Produkt in Form eines E-Mail Servers eines großen Softwareunternehmens für das Jahr 2023 betrachtet:
| V3.1: 5.7 MEDIUM V2.0:(not available) | 1 |
| V3.1: 7.2 HIGH V2.0:(not available) | 1 |
| V3.1: 7.5 HIGH V2.0:(not available) | 1 |
| V3.1: 7.8 HIGH V2.0:(not available) | 2 |
| V3.1: 8.0 HIGH V2.0:(not available) | 14 |
| V3.1: 8.8 HIGH V2.0:(not available) | 7 |
| V3.1: 9.8 CRITICAL V2.0:(not available) | 1 |
Oder auch eine sehr populäre Business Intelligence Lösung: Hierbei musste jedoch der Suchradius auf die letzten acht Jahre erweitert werden, um überhaupt einen Überblick zu bekommen.
| 2015 | V3.x:(not available) V2.0: 6.4 MEDIUM | 1 |
| 2019 | V3.0: 6.5 MEDIUM V2.0: 4.0 MEDIUM | 1 |
| 2021 | V3.1: 5.3 MEDIUM V2.0: 5.0 MEDIUM | 1 |
| V3.1: 7.8 HIGH V2.0:(not available) | 2 | |
| 2022 | V3.1: 5.3 MEDIUM V2.0: 4.3 MEDIUM | 1 |
| V3.1: 5.4 MEDIUM V2.0:(not available) | 1 | |
| 2023 | V3.1: 6.5 MEDIUM V2.0:(not available) | 1 |
| V3.1: 9.9 CRITICAL V2.0:(not available) | 2 |
Ein Blick auf die CVSS Score Verteilung eines bekannten Schreibprogramms für das Jahr 2023:
| V3.1: 5.3 MEDIUM V2.0:(not available) | 1 |
| V3.1: 7.3 HIGH V2.0:(not available) | 1 |
| V3.1: 7.5 HIGH V2.0:(not available) | 2 |
| V3.1: 9.6 CRITICAL V2.0:(not available) | 1 |
| V3.1: 9.8 CRITICAL V2.0:(not available) | 1 |
Und hier eine Komplettsicht auf eine alternative Office-Suite (immerhin der letzten zwölf Jahre):
| 2011 | V3.x:(not available) V2.0: 4.3 MEDIUM | 1 |
| V3.x:(not available) V2.0: 9.3 HIGH | 1 | |
| 2012 | V3.1: 6.5 MEDIUM V2.0: 4.3 MEDIUM | 1 |
| V3.x:(not available) V2.0: 4.3 MEDIUM | 2 | |
| V3.x:(not available) V2.0: 6.8 MEDIUM | 1 | |
| V3.x:(not available) V2.0: 7.5 HIGH | 2 | |
| 2014 | V3.x:(not available) V2.0: 10.0 HIGH | 1 |
| V3.x:(not available) V2.0: 4.3 MEDIUM | 1 | |
| V3.x:(not available) V2.0: 7.5 HIGH | 2 | |
| V3.x:(not available) V2.0: 9.3 HIGH | 1 | |
| 2015 | V3.x:(not available) V2.0: 4.3 MEDIUM | 1 |
| V3.x:(not available) V2.0: 6.8 MEDIUM | 4 | |
| 2016 | V3.0: 7.8 HIGH V2.0: 6.8 MEDIUM | 1 |
| V3.0: 7.8 HIGH V2.0: 9.3 HIGH | 2 | |
| V3.0: 9.8 CRITICAL V2.0: 7.5 HIGH | 1 | |
| 2017 | V3.0: 9.8 CRITICAL V2.0: 7.5 HIGH | 4 |
| V3.1: 7.5 HIGH V2.0: 5.0 MEDIUM | 1 | |
| 2018 | V3.0: 7.5 HIGH V2.0: 5.0 MEDIUM | 1 |
| V3.0: 7.8 HIGH V2.0: 6.8 MEDIUM | 2 | |
| V3.0: 9.8 CRITICAL V2.0: 5.0 MEDIUM | 1 | |
| V3.0: 9.8 CRITICAL V2.0: 7.5 HIGH | 2 | |
| V3.1: 5.3 MEDIUM V2.0: 5.0 MEDIUM | 1 | |
| 2019 | V3.0: 7.8 HIGH V2.0: 6.8 MEDIUM | 1 |
| V3.1: 4.3 MEDIUM V2.0: 4.0 MEDIUM | 1 | |
| V3.1: 7.8 HIGH V2.0: 6.8 MEDIUM | 3 | |
| V3.1: 9.8 CRITICAL V2.0: 7.5 HIGH | 4 | |
| 2020 | V3.1: 5.3 MEDIUM V2.0: 4.3 MEDIUM | 1 |
| V3.1: 5.3 MEDIUM V2.0: 5.0 MEDIUM | 1 | |
| V3.1: 6.5 MEDIUM V2.0: 4.3 MEDIUM | 1 | |
| 2021 | V3.1: 7.5 HIGH V2.0: 5.0 MEDIUM | 3 |
| V3.1: 8.8 HIGH V2.0: 9.3 HIGH | 1 | |
| 2022 | V3.1: 6.3 MEDIUM V2.0:(not available) | 1 |
| V3.1: 7.5 HIGH V2.0:(not available) | 2 | |
| V3.1: 8.8 HIGH V2.0:(not available) | 1 | |
| 2023 | V3.1: 5.3 MEDIUM V2.0:(not available) | 1 |
| V3.1: 5.5 MEDIUM V2.0:(not available) | 1 | |
| V3.1: 7.8 HIGH V2.0:(not available) | 1 |
CVEs dienen in der Praxis natürlich dazu, öffentliche Schwachstellen schnell und effizient schließen zu können, sofern der Hersteller entsprechende Patches bereitstellt. Des Weiteren lässt sich mit ihnen jedoch auch die Sicherheit erhöhen, in dem Produkte eingesetzt werden (sofern möglich), welche keine öffentliche „Todo-Liste“ an Angriffsvektoren bieten.