Những điều cần biết về lỗ hổng CVE

Tường Minh
12/05/2021 08:22
D

Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Bài viết này trình bày lý do CVE trở thành tiêu chuẩn công nghiệp cho định danh các lỗ hổng và phơi nhiễm phổ biến hiện nay.

Định nghĩa CVE

Các lỗ hổng và phơi nhiễm phổ biến là một chương trình được khởi xướng vào năm 1999 bởi MITRE, một tổ chức phi lợi nhuận điều hành các trung tâm nghiên cứu và phát triển do Chính phủ Liên bang tài trợ.

Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa quy trình xác thực các lỗ hổng đã được biết.

CVE sử dụng giao thức tự động hóa nội dung bảo mật (Security Content Automation Protocol - SCAP) để thu thập thông tin về các lỗ hổng bảo mật và phơi nhiễm, lập danh mục về các lỗ hổng theo một số nhận dạng khác nhau.

Sau khi được lập thành tài liệu, MITRE cung cấp cho mỗi lỗ hổng một định danh duy nhất. Sau khi cơ sở dữ liệu về lỗ hổng bảo mật của MITRE công bố lỗ hổng, cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (National Vulnerability Database - NVD) cũng công bố CVE với một phân tích bảo mật tương ứng.

CVE cho phép các tổ chức thiết lập cơ sở để đánh giá mức độ bao phủ của các công cụ bảo mật của họ. Các định danh CVE mà công cụ có thể phát hiện được sẽ cho biết chúng có phù hợp với tổ chức hay không. Ngoài ra, các nhà nghiên cứu cũng có thể sử dụng thông tin CVE để tìm kiếm các dấu hiệu của những lỗ hổng đã biết trong quá trình điều tra.

Định danh một CVE

Mỗi một CVE mới sẽ nhận được một định danh duy nhất theo công thức: “CVE” + Năm + số định danh (lớn hơn hoặc bằng 4 chữ số). Ví dụ CVE2018-8589 là một CVE về lỗ hổng tồn tại trên hệ điều hành Windows, thể hiện đây là lỗ hổng công bố năm 2018 với định danh trên cơ sở dữ liệu của MITRE là 8589.

Hình 1. Công thức để đánh số định danh cho 1 mã CVE

Đối với các trường hợp thông thường thì số định danh sẽ do MITRE cung cấp. Tuy nhiên, ngoài MITRE cũng có những đơn vị khác gọi là các tổ chức đánh số thương mại (phi chính phủ) sẽ tham gia cấp số định danh cho những lỗ hổng trên sản phẩm của họ.

Theo thống kê chính xác từ MITRE ngày 04/12/2020 thì con số này là 148 tổ chức đến từ 25 quốc gia trên thế giới. Ngoài ra, Trung tâm Điều phối CERT cũng được chứng nhận để chỉ định số CVE.

Ngoài định danh duy nhất, mỗi bản ghi CVE sẽ chứa ngày mà CVE này được tạo bởi MITRE, theo sau là các trường mô tả và tham chiếu. Nếu lỗ hổng bảo mật không được báo cáo trực tiếp bởi MITRE, trường tham chiếu sẽ bao gồm các đường dẫn đến bài viết hoặc tài liệu nơi lỗ hổng được công bố đầu tiên. Các liên kết khác có thể xuất hiện trong trường này là các trang sản phẩm bị ảnh hưởng bởi CVE.

Cách đăng ký CVE

Để đăng ký một CVE, người báo cáo phải liên hệ với một trong các cơ quan đánh số CVE (CVE Numbering Authorities - CNA) hoặc MITRE. Ngoài ra, người báo cáo cũng có thể đăng một bài cảnh báo lỗ hổng trong danh sách email như Bugtraq, sau đó MITRE sẽ phản hồi vài ngày sau để cung cấp mã CVE.

Thời gian để một CVE mới xuất hiện ở cơ sở dữ liệu của MITRE có thể mất vài ngày đến vài tháng do lượng lỗ hổng được báo cáo đang ngày càng nhiều, dẫn tới nguồn lực của MITRE không đủ để cập nhật kịp thời các lỗ hổng.

Mức độ nghiêm trọng của một CVE

Mỗi CVE nhận được điểm Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) từ NVD sẽ cho biết mức độ nghiêm trọng về bảo mật của nó.

Xếp hạng mức độ nghiêm trọng bảo mật của NVD giúp các nhà phát triển và nhóm bảo mật xác định được mức độ nghiêm trọng và phạm vi ảnh hưởng của lỗ hổng để phân bổ nguồn lực, khắc phục hậu quả.

Điểm CVSS tuân theo một công thức được tạo thành từ vài chỉ số bảo mật. Các chỉ số liên quan đến việc xác định mức độ nghiêm trọng của một lỗ hổng bao gồm hướng truy cập của nó, độ phức tạp của cuộc tấn công, tính bảo mật của dữ liệu được xử lý bởi hệ thống chứa lỗ hổng, tính toàn vẹn của hệ thống bị khai thác. Hiện tại có hai phiên bản của CVSS đang được sử dụng song song là phiên bản 2.0 và 3.0.

CVSS phiên bản 2.0

CVSS phiên bản 2.0 ra mắt vào năm 2007 và được các nhà cung cấp và doanh nghiệp sử dụng rộng rãi như một ngôn ngữ chung để so sánh các lỗ hổng phần mềm. Với CVSS phiên bản 2.0 thì các lỗ hổng được tính điểm dựa trên tác động tổng thể đối với nền tảng máy chủ. CVSS dựa trên ba nhóm chỉ số: Base, Temporal và Environmental chứa các tập chỉ số để tính toán.

Nhóm chỉ số Base: là các chỉ số về các đặc điểm của lỗ hổng bảo mật mà không đổi theo thời gian và trên các môi trường người dùng. Các chỉ số hướng truy cập, độ phức tạp và xác thực sẽ cho biết cách thức truy cập lỗ hổng bảo mật và liệu có cần thêm điều kiện để khai thác nó hay không? Ba chỉ số khác liên quan đến tác động của lỗ hổng chỉ ra rằng nếu bị khai thác sẽ ảnh hưởng trực tiếp đến tài sản CNTT như thế nào? Trong đó, các tác động được xác định độc lập là mức độ mất tính bảo mật, tính toàn vẹn và tính khả dụng. Ví dụ, một lỗ hổng có thể làm mất một phần tính toàn vẹn và tính khả dụng, nhưng không làm mất tính bảo mật.

Hình 2. Đăng ký định danh CVE qua Bugtraq

Nhóm chỉ số Temporal: là chỉ số về các mối đe dọa do lỗ hổng bảo mật gây ra có thể thay đổi theo thời gian. Ba yếu tố mà CVSS quan tâm là xác nhận các chi tiết kỹ thuật của lỗ hổng, tình trạng khắc phục lỗ hổng và tính khả dụng của mã khai thác. Vì chỉ số Temporal là tùy chọn nên mỗi chỉ số bao gồm một giá trị mà không ảnh hưởng đến điểm số. Giá trị này được sử dụng khi người dùng cảm thấy số liệu cụ thể khác của một chỉ số là không phù hợp nên không muốn sử dụng trong việc tính toán điểm số.

Nhóm chỉ số Environmental: là chỉ số về đặc điểm của lỗ hổng liên quan đến môi trường CNTT của người dùng. Các môi trường khác nhau thì ảnh hưởng của lỗ hổng đối với một tổ chức và các bên liên quan sẽ khác nhau. Cũng như nhóm chỉ số Temporal thì nhóm chỉ số Environmental cũng có giá trị tuỳ chọn không ảnh hưởng đến điểm số.

Mặc dù được áp dụng rộng rãi, phiên bản CVSS 2.0 vẫn có những vấn đề quan trọng cần giải quyết. Các chuyên gia cho rằng việc thiếu chi tiết trong một vài chỉ số dẫn đến kết quả là điểm số CVSS không giúp phân loại được các loại lỗ hổng và rủi ro. Vì vậy sau 5 năm, CVSS phiên bản 3.0 đã ra đời để giúp giải quyết các vấn đề tồn đọng của CVSS 2.0.

CVSS phiên bản 3.0

Phiên bản CVSS 3.0 bắt đầu được phát triển từ năm 2012 và phát hành lần đầu tiên vào tháng 6/2015. Trong phiên bản này, một vài chỉ số đã được thay đổi, thêm mới và xóa bỏ. Các công thức để tính điểm đã được cập nhật để kết hợp các chỉ số mới trong khi vẫn giữ nguyên phạm vi điểm hiện tại là 0-10. Ngoài ra, phiên bản này đã đưa ra chính thức phân loại mức độ nghiêm trọng của lỗ hổng dựa trên điểm số:

  • Không nghiêm trọng (0)
  • Thấp (0,1-3,9)
  • Trung bình (4,0-6,9)
  • Cao (7,0-8,9)
  • Nghiêm trọng (9,0-10,0)

Hình 3. Mức độ nghiêm trọng của lỗ hổng phân theo thang điểm

Phiên bản 3.1 của CVSS phiên bản 3 cũng khẳng định điểm số CVSS của một lỗ hổng chỉ dùng để đánh giá mức độ nghiêm trọng của một lỗ hổng và không phải để sử dụng như một điểm độc lập để đánh giá rủi ro.

Điểm này giải quyết việc chuyển đổi từ phiên bản 2.0 sang phiên bản 3.0 đang làm tăng mức độ nghiêm trọng của lỗ hổng, theo thống kê của CISCO dựa trên 748 lỗ hổng có tới 38% đã tăng từ mức Trung bình sang Cao.

Hình 4. So sánh sự thay đổi về mức độ nghiêm trọng giữa hai phiên bản CVSS

Tổng kết

CVE không đơn giản chỉ là một danh sách các lỗ hổng bảo mật thông tin được tiết lộ và phơi bày công khai, mà được thiết kế để cho phép các cơ sở dữ liệu về lỗ hổng và các công cụ khác có thể liên kết được với nhau.

Ngoài ra, CVE còn được sử dụng để so sánh giữa các công cụ về an ninh mạng và các dịch vụ bảo mật. Sử dụng hiệu quả CVE sẽ mang lại rất nhiều lợi ích cho các công ty, tổ chức phát triển sản phẩm và dịch vụ, cũng như các tổ chức về an ninh mạng.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Đánh cắp dữ liệu, APT và ransomware: Mối lo ngại hàng đầu của lãnh đạo DN

Đánh cắp dữ liệu, APT và ransomware: Mối lo ngại hàng đầu của lãnh đạo DN

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Nâng cao hệ thống an ninh mạng để bảo vệ nền kinh tế số

Chiêu thức lừa đảo khách sử dụng thẻ tín dụng

Chiêu thức lừa đảo khách sử dụng thẻ tín dụng

Microsoft công bố chi tiết lỗ hổng ảnh hưởng đến Apple iOS, iPadOS, thiết bị macOS

Microsoft công bố chi tiết lỗ hổng ảnh hưởng đến Apple iOS, iPadOS, thiết bị macOS

Đại diện Kaspersky lên tiếng về việc 'Đăng bán dữ liệu của hơn 30 triệu người dùng'

Đại diện Kaspersky lên tiếng về việc 'Đăng bán dữ liệu của hơn 30 triệu người dùng'

Kaspersky ủng hộ sự minh bạch trong an ninh mạng

Kaspersky ủng hộ sự minh bạch trong an ninh mạng

Cảnh báo chiến dịch phishing nhằm vào hơn 10.000 tổ chức qua Office 365

Cảnh báo chiến dịch phishing nhằm vào hơn 10.000 tổ chức qua Office 365

30 triệu dữ liệu thông tin người dùng Việt Nam bị rao bán

30 triệu dữ liệu thông tin người dùng Việt Nam bị rao bán

Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng

Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng

Cập nhật ngay trình duyệt Google Chrome trên Windows

Cập nhật ngay trình duyệt Google Chrome trên Windows

Cập nhật ngay Chrome trên điện thoại Android để loại bỏ nguy cơ bị hack

Cập nhật ngay Chrome trên điện thoại Android để loại bỏ nguy cơ bị hack

Dữ liệu cá nhân của một tỷ người dân Trung Quốc bị rao bán trên web đen

Dữ liệu cá nhân của một tỷ người dân Trung Quốc bị rao bán trên web đen

Tin mới cập nhật

Bộ GD&ĐT ban hành khung thời gian năm học 2022- 2023

Bộ GD&ĐT ban hành khung thời gian năm học 2022- 2023

Khởi công xây dựng Nhà văn hóa cộng đồng cho dân tộc Mảng tại tỉnh Lai Châu

Khởi công xây dựng Nhà văn hóa cộng đồng cho dân tộc Mảng tại tỉnh Lai Châu

Xiaomi MiGu Headband, thiết bị giúp người dùng điều khiển nhà thông minh bằng tâm trí

Xiaomi MiGu Headband, thiết bị giúp người dùng điều khiển nhà thông minh bằng tâm trí

Hộ nghèo, cận nghèo được hỗ trợ đến 40 triệu đồng khi xây nhà mới

Hộ nghèo, cận nghèo được hỗ trợ đến 40 triệu đồng khi xây nhà mới

Samsung khai trương 'Cửa hàng trải nghiệm Samsung' cùng Bạch Long Mobile

Samsung khai trương 'Cửa hàng trải nghiệm Samsung' cùng Bạch Long Mobile

Những lí do không nên mua MacBook Air M2 cấu hình tiêu chuẩn?

Những lí do không nên mua MacBook Air M2 cấu hình tiêu chuẩn?

VEC huỷ bỏ quy định số dư tối thiểu trong tài khoản thu phí tự động không dừng ETC

VEC huỷ bỏ quy định số dư tối thiểu trong tài khoản thu phí tự động không dừng ETC

Hà Nội: Va chạm trong ngày đầu dựng dải phân cách trên đường Nguyễn Trãi

Hà Nội: Va chạm trong ngày đầu dựng dải phân cách trên đường Nguyễn Trãi

Câu chuyện đầy xúc động đằng sau đại lễ vu lan vào mỗi Rằm tháng Bảy âm lịch

Câu chuyện đầy xúc động đằng sau đại lễ vu lan vào mỗi Rằm tháng Bảy âm lịch

Nơi ở trong mơ với nội thất LG SIGNATURE

Nơi ở trong mơ với nội thất LG SIGNATURE

Khám phá nghề dệt Thổ cẩm ở Sapa

Khám phá nghề dệt Thổ cẩm ở Sapa

Hết miễn phí lần đầu dán thẻ tự động ETC từ ngày 6/8

Hết miễn phí lần đầu dán thẻ tự động ETC từ ngày 6/8

Tin đọc nhiều

Những hệ lụy từ hành vi trộm cắp danh tính

Những hệ lụy từ hành vi trộm cắp danh tính

KSMPico đe doạ ví điện tử của người dùng windows không có bản quyền

KSMPico đe doạ ví điện tử của người dùng windows không có bản quyền

VMWare cập nhật kiến trúc Zero Trust - Giải pháp bảo mật tối ưu cho doanh nghiệp trong thời đại số

VMWare cập nhật kiến trúc Zero Trust - Giải pháp bảo mật tối ưu cho doanh nghiệp trong thời đại số

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Mỹ: Hàng triệu thiết bị thông minh có thể bị hack

Mỹ: Hàng triệu thiết bị thông minh có thể bị hack

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Video xem nhiều

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Công ty điện tử Samsung hôm nay tuyên bố đã đạt được tốc độ 5G nhanh nhất trong ngành

Công ty điện tử Samsung hôm nay tuyên bố đã đạt được tốc độ 5G nhanh nhất trong ngành

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Những lưu ý khi sử dụng phương tiện công cộng trong đại dịch Covid-19

Clip: Những lưu ý khi sử dụng phương tiện công cộng trong đại dịch Covid-19

Việt Nam thử nghiệm thành công cuộc gọi 5G đầu tiên trên thiết bị Make in Việt nam

Việt Nam thử nghiệm thành công cuộc gọi 5G đầu tiên trên thiết bị Make in Việt nam

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Kỷ niệm 74 năm ngày truyền thống ngành Bưu điện (15/8/1945 - 15/8/2019)

Kỷ niệm 74 năm ngày truyền thống ngành Bưu điện (15/8/1945 - 15/8/2019)

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019
Tiến sĩ Trần Văn Mạnh (Trung tâm Khuyến nông Quốc gia) đánh giá, việc phát triển sản xuất rau ứng dụng công nghệ cao nói riêng và sản xuất nông nghiệp ứng dụng công nghệ cao nói chung là hướng đi đúng, tạo động lực mới cho ngành nông nghiệp Việt Nam.
Kinh nghiệm quá hữu ích. Cần phổ biến ngay cho các cháu nhỏ.
Chúc mừng ngày thành lập ngành Bưu điện Việt Nam
Bài viết rất hay và ý nghĩa về eKGIS và hội thảo CNTT. Cảm ơn tác giả
Tình yêu , cống hiến ,nổ lực đã vượt qua những trở ngại tưởng chừng như không bao giờ qua được. Chúc Mừng Con người Đẹp , chúng tôi luôn tự hào !
Giờ mình mới biết - Chúc mừng chúc mừng con người Đẹp
Một con người dùng cả một cuộc đời cho tình yêu thiên nhiên . Ông đã đóng góp cống hiến cho nghành thực vật học nước nhà bảo tồn phát triển những loài lan quí hiếm . Xin chúc ngài có một sinh nhật ngài ấm áp hạnh phúc bên người thân . Mong xã hội và trên toàn thế giới có nhiều người tâm huyết như ông . Xin chúc cho tình cảm hữu nghị giữa hai đất nước TL & VN luôn bền chặt và thắm thiết . VN luôn yêu quí các bạn !
Con này chắc không bằng con Netgear Orbi RBS40 đâu mình đã dùng thử và đã lắp đặt nhiều nhà , cơ quan, resort , văn phòng , showroom . Con netgear Orbi có app kiểm tra từ xa và loại đối tượng thông qua tắt ip đối tượng đó
Nhu cầu tuyển dụng tăng gấp đột biến 4 lần trong một thời gian ngắn điều đó phản ánh tỉ lệ thất nghiệp trong những tháng đầu năm là 3/4 do ảnh hưởng của đại dịch covid-19 đây là một điều đáng buồn, rồi các cử nhân, kỹ sư sẽ đi đâu về đâu trong giai đoạn bất ổn này. Để cân bằng lại có thể mất một thời gian dài.