Những điều cần biết về lỗ hổng CVE

Tường Minh
12/05/2021 08:22
D

Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Bài viết này trình bày lý do CVE trở thành tiêu chuẩn công nghiệp cho định danh các lỗ hổng và phơi nhiễm phổ biến hiện nay.

Định nghĩa CVE

Các lỗ hổng và phơi nhiễm phổ biến là một chương trình được khởi xướng vào năm 1999 bởi MITRE, một tổ chức phi lợi nhuận điều hành các trung tâm nghiên cứu và phát triển do Chính phủ Liên bang tài trợ.

Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa quy trình xác thực các lỗ hổng đã được biết.

CVE sử dụng giao thức tự động hóa nội dung bảo mật (Security Content Automation Protocol - SCAP) để thu thập thông tin về các lỗ hổng bảo mật và phơi nhiễm, lập danh mục về các lỗ hổng theo một số nhận dạng khác nhau.

Sau khi được lập thành tài liệu, MITRE cung cấp cho mỗi lỗ hổng một định danh duy nhất. Sau khi cơ sở dữ liệu về lỗ hổng bảo mật của MITRE công bố lỗ hổng, cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (National Vulnerability Database - NVD) cũng công bố CVE với một phân tích bảo mật tương ứng.

CVE cho phép các tổ chức thiết lập cơ sở để đánh giá mức độ bao phủ của các công cụ bảo mật của họ. Các định danh CVE mà công cụ có thể phát hiện được sẽ cho biết chúng có phù hợp với tổ chức hay không. Ngoài ra, các nhà nghiên cứu cũng có thể sử dụng thông tin CVE để tìm kiếm các dấu hiệu của những lỗ hổng đã biết trong quá trình điều tra.

Định danh một CVE

Mỗi một CVE mới sẽ nhận được một định danh duy nhất theo công thức: “CVE” + Năm + số định danh (lớn hơn hoặc bằng 4 chữ số). Ví dụ CVE2018-8589 là một CVE về lỗ hổng tồn tại trên hệ điều hành Windows, thể hiện đây là lỗ hổng công bố năm 2018 với định danh trên cơ sở dữ liệu của MITRE là 8589.

Hình 1. Công thức để đánh số định danh cho 1 mã CVE

Đối với các trường hợp thông thường thì số định danh sẽ do MITRE cung cấp. Tuy nhiên, ngoài MITRE cũng có những đơn vị khác gọi là các tổ chức đánh số thương mại (phi chính phủ) sẽ tham gia cấp số định danh cho những lỗ hổng trên sản phẩm của họ.

Theo thống kê chính xác từ MITRE ngày 04/12/2020 thì con số này là 148 tổ chức đến từ 25 quốc gia trên thế giới. Ngoài ra, Trung tâm Điều phối CERT cũng được chứng nhận để chỉ định số CVE.

Ngoài định danh duy nhất, mỗi bản ghi CVE sẽ chứa ngày mà CVE này được tạo bởi MITRE, theo sau là các trường mô tả và tham chiếu. Nếu lỗ hổng bảo mật không được báo cáo trực tiếp bởi MITRE, trường tham chiếu sẽ bao gồm các đường dẫn đến bài viết hoặc tài liệu nơi lỗ hổng được công bố đầu tiên. Các liên kết khác có thể xuất hiện trong trường này là các trang sản phẩm bị ảnh hưởng bởi CVE.

Cách đăng ký CVE

Để đăng ký một CVE, người báo cáo phải liên hệ với một trong các cơ quan đánh số CVE (CVE Numbering Authorities - CNA) hoặc MITRE. Ngoài ra, người báo cáo cũng có thể đăng một bài cảnh báo lỗ hổng trong danh sách email như Bugtraq, sau đó MITRE sẽ phản hồi vài ngày sau để cung cấp mã CVE.

Thời gian để một CVE mới xuất hiện ở cơ sở dữ liệu của MITRE có thể mất vài ngày đến vài tháng do lượng lỗ hổng được báo cáo đang ngày càng nhiều, dẫn tới nguồn lực của MITRE không đủ để cập nhật kịp thời các lỗ hổng.

Mức độ nghiêm trọng của một CVE

Mỗi CVE nhận được điểm Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) từ NVD sẽ cho biết mức độ nghiêm trọng về bảo mật của nó.

Xếp hạng mức độ nghiêm trọng bảo mật của NVD giúp các nhà phát triển và nhóm bảo mật xác định được mức độ nghiêm trọng và phạm vi ảnh hưởng của lỗ hổng để phân bổ nguồn lực, khắc phục hậu quả.

Điểm CVSS tuân theo một công thức được tạo thành từ vài chỉ số bảo mật. Các chỉ số liên quan đến việc xác định mức độ nghiêm trọng của một lỗ hổng bao gồm hướng truy cập của nó, độ phức tạp của cuộc tấn công, tính bảo mật của dữ liệu được xử lý bởi hệ thống chứa lỗ hổng, tính toàn vẹn của hệ thống bị khai thác. Hiện tại có hai phiên bản của CVSS đang được sử dụng song song là phiên bản 2.0 và 3.0.

CVSS phiên bản 2.0

CVSS phiên bản 2.0 ra mắt vào năm 2007 và được các nhà cung cấp và doanh nghiệp sử dụng rộng rãi như một ngôn ngữ chung để so sánh các lỗ hổng phần mềm. Với CVSS phiên bản 2.0 thì các lỗ hổng được tính điểm dựa trên tác động tổng thể đối với nền tảng máy chủ. CVSS dựa trên ba nhóm chỉ số: Base, Temporal và Environmental chứa các tập chỉ số để tính toán.

Nhóm chỉ số Base: là các chỉ số về các đặc điểm của lỗ hổng bảo mật mà không đổi theo thời gian và trên các môi trường người dùng. Các chỉ số hướng truy cập, độ phức tạp và xác thực sẽ cho biết cách thức truy cập lỗ hổng bảo mật và liệu có cần thêm điều kiện để khai thác nó hay không? Ba chỉ số khác liên quan đến tác động của lỗ hổng chỉ ra rằng nếu bị khai thác sẽ ảnh hưởng trực tiếp đến tài sản CNTT như thế nào? Trong đó, các tác động được xác định độc lập là mức độ mất tính bảo mật, tính toàn vẹn và tính khả dụng. Ví dụ, một lỗ hổng có thể làm mất một phần tính toàn vẹn và tính khả dụng, nhưng không làm mất tính bảo mật.

Hình 2. Đăng ký định danh CVE qua Bugtraq

Nhóm chỉ số Temporal: là chỉ số về các mối đe dọa do lỗ hổng bảo mật gây ra có thể thay đổi theo thời gian. Ba yếu tố mà CVSS quan tâm là xác nhận các chi tiết kỹ thuật của lỗ hổng, tình trạng khắc phục lỗ hổng và tính khả dụng của mã khai thác. Vì chỉ số Temporal là tùy chọn nên mỗi chỉ số bao gồm một giá trị mà không ảnh hưởng đến điểm số. Giá trị này được sử dụng khi người dùng cảm thấy số liệu cụ thể khác của một chỉ số là không phù hợp nên không muốn sử dụng trong việc tính toán điểm số.

Nhóm chỉ số Environmental: là chỉ số về đặc điểm của lỗ hổng liên quan đến môi trường CNTT của người dùng. Các môi trường khác nhau thì ảnh hưởng của lỗ hổng đối với một tổ chức và các bên liên quan sẽ khác nhau. Cũng như nhóm chỉ số Temporal thì nhóm chỉ số Environmental cũng có giá trị tuỳ chọn không ảnh hưởng đến điểm số.

Mặc dù được áp dụng rộng rãi, phiên bản CVSS 2.0 vẫn có những vấn đề quan trọng cần giải quyết. Các chuyên gia cho rằng việc thiếu chi tiết trong một vài chỉ số dẫn đến kết quả là điểm số CVSS không giúp phân loại được các loại lỗ hổng và rủi ro. Vì vậy sau 5 năm, CVSS phiên bản 3.0 đã ra đời để giúp giải quyết các vấn đề tồn đọng của CVSS 2.0.

CVSS phiên bản 3.0

Phiên bản CVSS 3.0 bắt đầu được phát triển từ năm 2012 và phát hành lần đầu tiên vào tháng 6/2015. Trong phiên bản này, một vài chỉ số đã được thay đổi, thêm mới và xóa bỏ. Các công thức để tính điểm đã được cập nhật để kết hợp các chỉ số mới trong khi vẫn giữ nguyên phạm vi điểm hiện tại là 0-10. Ngoài ra, phiên bản này đã đưa ra chính thức phân loại mức độ nghiêm trọng của lỗ hổng dựa trên điểm số:

  • Không nghiêm trọng (0)
  • Thấp (0,1-3,9)
  • Trung bình (4,0-6,9)
  • Cao (7,0-8,9)
  • Nghiêm trọng (9,0-10,0)

Hình 3. Mức độ nghiêm trọng của lỗ hổng phân theo thang điểm

Phiên bản 3.1 của CVSS phiên bản 3 cũng khẳng định điểm số CVSS của một lỗ hổng chỉ dùng để đánh giá mức độ nghiêm trọng của một lỗ hổng và không phải để sử dụng như một điểm độc lập để đánh giá rủi ro.

Điểm này giải quyết việc chuyển đổi từ phiên bản 2.0 sang phiên bản 3.0 đang làm tăng mức độ nghiêm trọng của lỗ hổng, theo thống kê của CISCO dựa trên 748 lỗ hổng có tới 38% đã tăng từ mức Trung bình sang Cao.

Hình 4. So sánh sự thay đổi về mức độ nghiêm trọng giữa hai phiên bản CVSS

Tổng kết

CVE không đơn giản chỉ là một danh sách các lỗ hổng bảo mật thông tin được tiết lộ và phơi bày công khai, mà được thiết kế để cho phép các cơ sở dữ liệu về lỗ hổng và các công cụ khác có thể liên kết được với nhau.

Ngoài ra, CVE còn được sử dụng để so sánh giữa các công cụ về an ninh mạng và các dịch vụ bảo mật. Sử dụng hiệu quả CVE sẽ mang lại rất nhiều lợi ích cho các công ty, tổ chức phát triển sản phẩm và dịch vụ, cũng như các tổ chức về an ninh mạng.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

'Cần tăng cường an ninh mạng thông qua hợp tác'

'Cần tăng cường an ninh mạng thông qua hợp tác'

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Fortinet cấp hơn 1 triệu chứng chỉ chuyên gia an ninh mạng trên toàn cầu

Fortinet cấp hơn 1 triệu chứng chỉ chuyên gia an ninh mạng trên toàn cầu

Hơn 1,6 triệu hành vi giả mạo liên quan đến tài chính ở Đông Nam Á

Hơn 1,6 triệu hành vi giả mạo liên quan đến tài chính ở Đông Nam Á

FPT Cloud WAF: tường lửa dành cho doanh nghiệp trong thời đại số

FPT Cloud WAF: tường lửa dành cho doanh nghiệp trong thời đại số

Kaspersky ra mắt dịch vụ bảo mật Kaspersky Digital Footprint Intelligence (DFI)

Kaspersky ra mắt dịch vụ bảo mật Kaspersky Digital Footprint Intelligence (DFI)

Hơn 300.000 phần mềm đánh cắp mật khẩu đã bị ngăn chặn

Hơn 300.000 phần mềm đánh cắp mật khẩu đã bị ngăn chặn

Người dùng Internet Việt thiệt hại 374 triệu USD bởi lừa đảo qua mạng

Người dùng Internet Việt thiệt hại 374 triệu USD bởi lừa đảo qua mạng

Tấn công lừa đảo tăng mạnh ở Đông Nam Á

Tấn công lừa đảo tăng mạnh ở Đông Nam Á

Tin mới cập nhật

Fonos nhận 1,8 triệu USD từ vòng Pre-Series A

Fonos nhận 1,8 triệu USD từ vòng Pre-Series A

Vertiv™ Liebert® APM Plus: UPS thiết kế dạng mô-đun, thân thiện môi trường

Vertiv™ Liebert® APM Plus: UPS thiết kế dạng mô-đun, thân thiện môi trường

Solve for Tomorrow 2022: Vinh danh những giải pháp sáng tạo vì cộng đồng

Solve for Tomorrow 2022: Vinh danh những giải pháp sáng tạo vì cộng đồng

Diễn đàn Thể thao Việt Nam quy tụ nhiều chuyên gia hàng đầu thế giới

Diễn đàn Thể thao Việt Nam quy tụ nhiều chuyên gia hàng đầu thế giới

Cảnh báo các ứng dụng chứng khoán không phép

Cảnh báo các ứng dụng chứng khoán không phép

Nỗi tuyệt vọng của những nhà đầu tư tiền mã hóa

Nỗi tuyệt vọng của những nhà đầu tư tiền mã hóa

Trao Giải thưởng Khoa học công nghệ Quả cầu vàng năm 2022

Trao Giải thưởng Khoa học công nghệ Quả cầu vàng năm 2022

OtterBox: Phụ kiện cao cấp chinh phục mọi thách thức

OtterBox: Phụ kiện cao cấp chinh phục mọi thách thức

Hà Nội: Khách mua ở thực săn lùng căn hộ sơ cấp tại nội đô

Hà Nội: Khách mua ở thực săn lùng căn hộ sơ cấp tại nội đô

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

Sony SRS-XV900: Mẫu loa uy lực nhất dòng X series

Sony SRS-XV900: Mẫu loa uy lực nhất dòng X series

'Mốt' sử dụng ứng dụng giao hàng để khám phá thêm các hàng quán mới

'Mốt' sử dụng ứng dụng giao hàng để khám phá thêm các hàng quán mới

Tin đọc nhiều

Tội phạm công nghệ ngày càng 'manh động' khiến các nhà băng tức tốc phát đi cảnh báo mạo danh

Tội phạm công nghệ ngày càng 'manh động' khiến các nhà băng tức tốc phát đi cảnh báo mạo danh

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019