® 
CVE
Definicion
CVE (Common Vulnerabilities and Exposures) es el estandar global para numerar fallos de seguridad conocidos. Cada numero CVE hace referencia a una vulnerabilidad especifica y documentada.
CVE (Common Vulnerabilities and Exposures) es el sistema estandar global para identificar y numerar vulnerabilidades de seguridad conocidas en software y hardware. En 2023 se publicaron mas de 29.000 nuevos CVE, un record que subraya el crecimiento explosivo de vulnerabilidades descubiertas.
Como funciona CVE?
Cada fallo de seguridad descubierto recibe un numero CVE unico en el formato CVE-ANO-SECUENCIA, por ejemplo CVE-2024-3094. MITRE Corporation gestiona el programa CVE. Las CVE Numbering Authorities (CNA) como Microsoft, Google y Red Hat pueden asignar numeros CVE independientemente. Cada entrada CVE contiene una descripcion de la vulnerabilidad, productos afectados y referencias a parches o mitigaciones.
Puntuacion de gravedad CVSS
Cada CVE recibe una puntuacion del Common Vulnerability Scoring System (CVSS) de 0,0 a 10,0. Las puntuaciones de 9,0-10,0 son criticas, 7,0-8,9 altas, 4,0-6,9 medias y 0,1-3,9 bajas. La puntuacion se basa en la complejidad de explotacion, privilegios requeridos, impacto en confidencialidad, integridad y disponibilidad. Las organizaciones usan puntuaciones CVSS para priorizar el parcheo.
Impacto para las organizaciones
Las bases de datos CVE son la columna vertebral de la gestion de vulnerabilidades. Sin monitorizacion de CVE, las organizaciones desconocen que vulnerabilidades conocidas existen en sus sistemas. Los atacantes explotan CVE conocidos a menudo en dias. La vulnerabilidad Log4Shell (CVE-2021-44228) afecto a millones de sistemas. NIS2 exige gestion sistematica de vulnerabilidades. ISO 27001 requiere un proceso para identificar y tratar vulnerabilidades tecnicas. PCI DSS exige parchear vulnerabilidades criticas en 30 dias. El NCSC publica avisos de seguridad basados en CVE que afectan a organizaciones europeas.
Proteccion
Implemente un programa estructurado de gestion de vulnerabilidades que integre feeds CVE. Utilice escaneres que comprueben automaticamente contra bases de datos CVE. Priorice segun puntuacion CVSS, explotabilidad y relevancia para el entorno especifico. Automatice procesos de parcheo donde sea posible. Monitorice bases de datos de exploits como CISA Known Exploited Vulnerabilities.
Como ayuda DEFION
DEFION ofrece Continuous Vulnerability Management donde el equipo monitoriza continuamente feeds CVE y prioriza vulnerabilidades basandose en el riesgo real. Los pentests validan si los CVE criticos son realmente explotables en la practica.