Tranquilos #hackers, que todo es más sencillo de lo que parece, si ya lleváis tiempo trabajando en #ciberseguridad seguro que os sonarán estos términos, si sois más o menos noveles es posible que os lieis, pero todo es más sencillo de lo que parece, así que vamos por partes definiendo cada término.
Primero indicar que tanto CVE, CWE y CAPEC son estándares, es decir son normas para que cuando hablemos de alguna vulnerabilidad o tipo de vulnerabilidad no tengamos que describirla por completo y además nos ayudan a hablar todos el mismo idioma.
Dicho esto, CVE (Common Vulnerabilities and Exposures) proporciona una lista de identificadores comunes para las vulnerabilidades de ciberseguridad conocidas públicamente, llamados "Registros CVE", que son asignados por las Autoridades de Numeración CVE de todo el mundo y son utilizados por los individuos y dentro de los productos para mejorar la seguridad y permitir el intercambio automático de datos.
Tiene un formato como CVE-YYYY-NNNN donde YYYY representa el año de descubrimiento y NNNN el número.
Vamos, un CVE es un identificador para una vulnerabilidad en concreto, por ejemplo la vulnerabilidad #Log4Shell tiene el código CVE-2021-44228
CWE (Common Weakness Enumeration) es una lista desarrollada por la comunidad de puntos débiles comunes de seguridad de software y hardware que sirve como lenguaje común, como vara de medir para las herramientas de seguridad y como base para la identificación de puntos débiles, la mitigación y los esfuerzos de prevención.
Por decirlo de manera sencilla, el CVE es una manifestación o ejecución de un CWE, el CWE es general, un tipo de vulnerabilidad común, el CWE 89 es un SQL injection; pero un CVE no tiene por qué tener o explotar un único CWE, por seguir con el ejemplo anterior, el CVE del Log4Shell conlleva los CWE 502, 400 y 20.
CAPEC (Common Attack Pattern Enumeration and Classification) es un diccionario completo y una taxonomía de clasificación de los ataques conocidos que pueden utilizar los analistas, desarrolladores, probadores y educadores para avanzar en la comprensión de la comunidad y mejorar las defensas.
Vamos, es una categoría de mecanismos empleados para la explotación de vulnerabilidades, para el Log4Shell serían el 1000, 152, 137 y 6.
Como veis es sencillo una vez los diferencias, CVE es la vulnerabilidad específica, CWE la vulnerabilidad genérica y CAPEC el mecanismo o método.
Y por último hablaremos del CVSS (Common Vulnerability Scoring System), que es un sistema de puntuación numérica que se asigna a una vulnerabilidad, donde 10 es lo más crítico, que se suele traducir muchas veces a un lenguaje más sencillo como vulnerabilidades de tipo informativa, baja, media, alta o crítica, este número es el que nos ayuda a definir la importancia de una vulnerabilidad, donde mediremos el vector de ataque, complejidad o las métricas de impacto (recordad confidencialidad, integridad y disponibilidad) entre otras cosas.
Si necesitáis una calculadora para saber el score de una vulnerabilidad, podéis usar esta:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
Como habéis leído es sencillo y son términos que nos ayudan (y mucho) a la hora de localizar información o exploits de un determinado sistema, así como para catalogar vulnerabilidades y hablar con otros hackers, además de muchas veces tener enlaces a pruebas de concepto o guías de explotación o investigación; lo más importante de una vulnerabilidad no es explotarla, sino entenderla, luego explotarla será trivial.
Y ya sabéis…
#AlwaysLearning
