Những điều cần biết về lỗ hổng CVE

Tường Minh
12/05/2021 08:22
D

Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Bài viết này trình bày lý do CVE trở thành tiêu chuẩn công nghiệp cho định danh các lỗ hổng và phơi nhiễm phổ biến hiện nay.

Định nghĩa CVE

Các lỗ hổng và phơi nhiễm phổ biến là một chương trình được khởi xướng vào năm 1999 bởi MITRE, một tổ chức phi lợi nhuận điều hành các trung tâm nghiên cứu và phát triển do Chính phủ Liên bang tài trợ.

Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa quy trình xác thực các lỗ hổng đã được biết.

CVE sử dụng giao thức tự động hóa nội dung bảo mật (Security Content Automation Protocol - SCAP) để thu thập thông tin về các lỗ hổng bảo mật và phơi nhiễm, lập danh mục về các lỗ hổng theo một số nhận dạng khác nhau.

Sau khi được lập thành tài liệu, MITRE cung cấp cho mỗi lỗ hổng một định danh duy nhất. Sau khi cơ sở dữ liệu về lỗ hổng bảo mật của MITRE công bố lỗ hổng, cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (National Vulnerability Database - NVD) cũng công bố CVE với một phân tích bảo mật tương ứng.

CVE cho phép các tổ chức thiết lập cơ sở để đánh giá mức độ bao phủ của các công cụ bảo mật của họ. Các định danh CVE mà công cụ có thể phát hiện được sẽ cho biết chúng có phù hợp với tổ chức hay không. Ngoài ra, các nhà nghiên cứu cũng có thể sử dụng thông tin CVE để tìm kiếm các dấu hiệu của những lỗ hổng đã biết trong quá trình điều tra.

Định danh một CVE

Mỗi một CVE mới sẽ nhận được một định danh duy nhất theo công thức: “CVE” + Năm + số định danh (lớn hơn hoặc bằng 4 chữ số). Ví dụ CVE2018-8589 là một CVE về lỗ hổng tồn tại trên hệ điều hành Windows, thể hiện đây là lỗ hổng công bố năm 2018 với định danh trên cơ sở dữ liệu của MITRE là 8589.

Hình 1. Công thức để đánh số định danh cho 1 mã CVE

Đối với các trường hợp thông thường thì số định danh sẽ do MITRE cung cấp. Tuy nhiên, ngoài MITRE cũng có những đơn vị khác gọi là các tổ chức đánh số thương mại (phi chính phủ) sẽ tham gia cấp số định danh cho những lỗ hổng trên sản phẩm của họ.

Theo thống kê chính xác từ MITRE ngày 04/12/2020 thì con số này là 148 tổ chức đến từ 25 quốc gia trên thế giới. Ngoài ra, Trung tâm Điều phối CERT cũng được chứng nhận để chỉ định số CVE.

Ngoài định danh duy nhất, mỗi bản ghi CVE sẽ chứa ngày mà CVE này được tạo bởi MITRE, theo sau là các trường mô tả và tham chiếu. Nếu lỗ hổng bảo mật không được báo cáo trực tiếp bởi MITRE, trường tham chiếu sẽ bao gồm các đường dẫn đến bài viết hoặc tài liệu nơi lỗ hổng được công bố đầu tiên. Các liên kết khác có thể xuất hiện trong trường này là các trang sản phẩm bị ảnh hưởng bởi CVE.

Cách đăng ký CVE

Để đăng ký một CVE, người báo cáo phải liên hệ với một trong các cơ quan đánh số CVE (CVE Numbering Authorities - CNA) hoặc MITRE. Ngoài ra, người báo cáo cũng có thể đăng một bài cảnh báo lỗ hổng trong danh sách email như Bugtraq, sau đó MITRE sẽ phản hồi vài ngày sau để cung cấp mã CVE.

Thời gian để một CVE mới xuất hiện ở cơ sở dữ liệu của MITRE có thể mất vài ngày đến vài tháng do lượng lỗ hổng được báo cáo đang ngày càng nhiều, dẫn tới nguồn lực của MITRE không đủ để cập nhật kịp thời các lỗ hổng.

Mức độ nghiêm trọng của một CVE

Mỗi CVE nhận được điểm Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) từ NVD sẽ cho biết mức độ nghiêm trọng về bảo mật của nó.

Xếp hạng mức độ nghiêm trọng bảo mật của NVD giúp các nhà phát triển và nhóm bảo mật xác định được mức độ nghiêm trọng và phạm vi ảnh hưởng của lỗ hổng để phân bổ nguồn lực, khắc phục hậu quả.

Điểm CVSS tuân theo một công thức được tạo thành từ vài chỉ số bảo mật. Các chỉ số liên quan đến việc xác định mức độ nghiêm trọng của một lỗ hổng bao gồm hướng truy cập của nó, độ phức tạp của cuộc tấn công, tính bảo mật của dữ liệu được xử lý bởi hệ thống chứa lỗ hổng, tính toàn vẹn của hệ thống bị khai thác. Hiện tại có hai phiên bản của CVSS đang được sử dụng song song là phiên bản 2.0 và 3.0.

CVSS phiên bản 2.0

CVSS phiên bản 2.0 ra mắt vào năm 2007 và được các nhà cung cấp và doanh nghiệp sử dụng rộng rãi như một ngôn ngữ chung để so sánh các lỗ hổng phần mềm. Với CVSS phiên bản 2.0 thì các lỗ hổng được tính điểm dựa trên tác động tổng thể đối với nền tảng máy chủ. CVSS dựa trên ba nhóm chỉ số: Base, Temporal và Environmental chứa các tập chỉ số để tính toán.

Nhóm chỉ số Base: là các chỉ số về các đặc điểm của lỗ hổng bảo mật mà không đổi theo thời gian và trên các môi trường người dùng. Các chỉ số hướng truy cập, độ phức tạp và xác thực sẽ cho biết cách thức truy cập lỗ hổng bảo mật và liệu có cần thêm điều kiện để khai thác nó hay không? Ba chỉ số khác liên quan đến tác động của lỗ hổng chỉ ra rằng nếu bị khai thác sẽ ảnh hưởng trực tiếp đến tài sản CNTT như thế nào? Trong đó, các tác động được xác định độc lập là mức độ mất tính bảo mật, tính toàn vẹn và tính khả dụng. Ví dụ, một lỗ hổng có thể làm mất một phần tính toàn vẹn và tính khả dụng, nhưng không làm mất tính bảo mật.

Hình 2. Đăng ký định danh CVE qua Bugtraq

Nhóm chỉ số Temporal: là chỉ số về các mối đe dọa do lỗ hổng bảo mật gây ra có thể thay đổi theo thời gian. Ba yếu tố mà CVSS quan tâm là xác nhận các chi tiết kỹ thuật của lỗ hổng, tình trạng khắc phục lỗ hổng và tính khả dụng của mã khai thác. Vì chỉ số Temporal là tùy chọn nên mỗi chỉ số bao gồm một giá trị mà không ảnh hưởng đến điểm số. Giá trị này được sử dụng khi người dùng cảm thấy số liệu cụ thể khác của một chỉ số là không phù hợp nên không muốn sử dụng trong việc tính toán điểm số.

Nhóm chỉ số Environmental: là chỉ số về đặc điểm của lỗ hổng liên quan đến môi trường CNTT của người dùng. Các môi trường khác nhau thì ảnh hưởng của lỗ hổng đối với một tổ chức và các bên liên quan sẽ khác nhau. Cũng như nhóm chỉ số Temporal thì nhóm chỉ số Environmental cũng có giá trị tuỳ chọn không ảnh hưởng đến điểm số.

Mặc dù được áp dụng rộng rãi, phiên bản CVSS 2.0 vẫn có những vấn đề quan trọng cần giải quyết. Các chuyên gia cho rằng việc thiếu chi tiết trong một vài chỉ số dẫn đến kết quả là điểm số CVSS không giúp phân loại được các loại lỗ hổng và rủi ro. Vì vậy sau 5 năm, CVSS phiên bản 3.0 đã ra đời để giúp giải quyết các vấn đề tồn đọng của CVSS 2.0.

CVSS phiên bản 3.0

Phiên bản CVSS 3.0 bắt đầu được phát triển từ năm 2012 và phát hành lần đầu tiên vào tháng 6/2015. Trong phiên bản này, một vài chỉ số đã được thay đổi, thêm mới và xóa bỏ. Các công thức để tính điểm đã được cập nhật để kết hợp các chỉ số mới trong khi vẫn giữ nguyên phạm vi điểm hiện tại là 0-10. Ngoài ra, phiên bản này đã đưa ra chính thức phân loại mức độ nghiêm trọng của lỗ hổng dựa trên điểm số:

  • Không nghiêm trọng (0)
  • Thấp (0,1-3,9)
  • Trung bình (4,0-6,9)
  • Cao (7,0-8,9)
  • Nghiêm trọng (9,0-10,0)

Hình 3. Mức độ nghiêm trọng của lỗ hổng phân theo thang điểm

Phiên bản 3.1 của CVSS phiên bản 3 cũng khẳng định điểm số CVSS của một lỗ hổng chỉ dùng để đánh giá mức độ nghiêm trọng của một lỗ hổng và không phải để sử dụng như một điểm độc lập để đánh giá rủi ro.

Điểm này giải quyết việc chuyển đổi từ phiên bản 2.0 sang phiên bản 3.0 đang làm tăng mức độ nghiêm trọng của lỗ hổng, theo thống kê của CISCO dựa trên 748 lỗ hổng có tới 38% đã tăng từ mức Trung bình sang Cao.

Hình 4. So sánh sự thay đổi về mức độ nghiêm trọng giữa hai phiên bản CVSS

Tổng kết

CVE không đơn giản chỉ là một danh sách các lỗ hổng bảo mật thông tin được tiết lộ và phơi bày công khai, mà được thiết kế để cho phép các cơ sở dữ liệu về lỗ hổng và các công cụ khác có thể liên kết được với nhau.

Ngoài ra, CVE còn được sử dụng để so sánh giữa các công cụ về an ninh mạng và các dịch vụ bảo mật. Sử dụng hiệu quả CVE sẽ mang lại rất nhiều lợi ích cho các công ty, tổ chức phát triển sản phẩm và dịch vụ, cũng như các tổ chức về an ninh mạng.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Mã độc đa hình VIRLOCK

Mã độc đa hình VIRLOCK

Các rủi ro bảo vệ dữ liệu và quyền riêng tư khi triển khai hệ thống danh tính số quốc gia

Các rủi ro bảo vệ dữ liệu và quyền riêng tư khi triển khai hệ thống danh tính số quốc gia

BotenaGo - Ứng dụng đen doạ nghiêm trọng đến mức độ an toàn của các thiết bị IoT

BotenaGo - Ứng dụng đen doạ nghiêm trọng đến mức độ an toàn của các thiết bị IoT

Hệ điều hành Microsoft bị phát hiện bảo mật ảnh hưởng nghiêm trọng đến hệ thống

Hệ điều hành Microsoft bị phát hiện bảo mật ảnh hưởng nghiêm trọng đến hệ thống

Robinhood làm lộ 2 triệu danh tính nhà đầu tư trong các giao dịch chứng khoán

Robinhood làm lộ 2 triệu danh tính nhà đầu tư trong các giao dịch chứng khoán

Kỹ thuật tấn công mới SmashEX trên bộ xử lý Intel SGX Enclaves

Kỹ thuật tấn công mới SmashEX trên bộ xử lý Intel SGX Enclaves

Facebook bị buộc phải xoá bỏ hàng tỉ dữ liệu nhận dạng khuân mặt

Facebook bị buộc phải xoá bỏ hàng tỉ dữ liệu nhận dạng khuân mặt

Gần 86 nghìn vụ tấn công khai thác lỗ hổng vào các hệ thống trọng yếu tại Việt Nam năm 2021

Gần 86 nghìn vụ tấn công khai thác lỗ hổng vào các hệ thống trọng yếu tại Việt Nam năm 2021

Keysight IoT Security Assessement - Giải pháp an ninh toàn diện cho thiết bị tự động hoá

Keysight IoT Security Assessement - Giải pháp an ninh toàn diện cho thiết bị tự động hoá

Phát hiện mã độc dựa vào học máy và thông tin PE Header

Phát hiện mã độc dựa vào học máy và thông tin PE Header

Telegram khẳng định bảo mật tuyệt đối trước phần còn lại của giới công nghệ

Telegram khẳng định bảo mật tuyệt đối trước phần còn lại của giới công nghệ

Keysight cập nhật bảo mật dạng mô-đun APS-100/400GE Series - 'Nhỏ nhưng có võ'

Keysight cập nhật bảo mật dạng mô-đun APS-100/400GE Series - 'Nhỏ nhưng có võ'

Tin mới cập nhật

Thiết bị di động sẽ là mục tiêu tấn công chủ yếu trong năm 2022

Thiết bị di động sẽ là mục tiêu tấn công chủ yếu trong năm 2022

Thuê bao di động phải chính chủ mới có thể sử dụng dịch vụ Mobilel Money

Thuê bao di động phải chính chủ mới có thể sử dụng dịch vụ Mobilel Money

Robot dọn dẹp văn phòng được Google phát triển từ 2019

Robot dọn dẹp văn phòng được Google phát triển từ 2019

Bế mạc Diễn đàn Trí thức trẻ Việt Nam toàn cầu lần thứ IV, năm 2021

Bế mạc Diễn đàn Trí thức trẻ Việt Nam toàn cầu lần thứ IV, năm 2021

Để 5G phát triển cấp thiết phải xây dựng quy hoạch băng tần riêng

Để 5G phát triển cấp thiết phải xây dựng quy hoạch băng tần riêng

Phong trào sáng kiến cải tiến - Dấu ấn trưởng thành và phát triển của công đoàn PV GAS

Phong trào sáng kiến cải tiến - Dấu ấn trưởng thành và phát triển của công đoàn PV GAS

"Học bổng chồi xanh - Tương lai chắp cánh" mang đến 23 suất học bổng cho con em đối tác của Grab

"Học bổng chồi xanh - Tương lai chắp cánh" mang đến 23 suất học bổng cho con em đối tác của Grab

Sách vàng sáng tạo Việt Nam vinh danh công trình sáng tạo của PV GAS

Sách vàng sáng tạo Việt Nam vinh danh công trình sáng tạo của PV GAS

Mobile Money chính thức có trên cả nước

Mobile Money chính thức có trên cả nước

Theo dõi sức khỏe cộng đồng dựa trên thiết bị đeo cá nhân

Theo dõi sức khỏe cộng đồng dựa trên thiết bị đeo cá nhân

Giá vé máy bay tăng quá cao - Hãng hàng không nói gì?

Giá vé máy bay tăng quá cao - Hãng hàng không nói gì?

Bộ Y tế lập 3 đoàn kiểm tra công tác thu dung, điều trị COVID-19

Bộ Y tế lập 3 đoàn kiểm tra công tác thu dung, điều trị COVID-19

Tin đọc nhiều

Mã độc đa hình VIRLOCK

Mã độc đa hình VIRLOCK

Các rủi ro bảo vệ dữ liệu và quyền riêng tư khi triển khai hệ thống danh tính số quốc gia

Các rủi ro bảo vệ dữ liệu và quyền riêng tư khi triển khai hệ thống danh tính số quốc gia

Phát hiện mã độc dựa vào học máy và thông tin PE Header

Phát hiện mã độc dựa vào học máy và thông tin PE Header

Việt Nam tìm kiếm "hacker" phát hiện lỗ hổng bảo mật cho các ứng dụng chống dịch Covid-19

Việt Nam tìm kiếm "hacker" phát hiện lỗ hổng bảo mật cho các ứng dụng chống dịch Covid-19

Tăng tính an toàn, bảo mật thông qua thẻ chip nội địa

Tăng tính an toàn, bảo mật thông qua thẻ chip nội địa

Bị tố bán dữ liệu giả, Chunxong nghi ngờ người mua là nhân viên của Bkav

Bị tố bán dữ liệu giả, Chunxong nghi ngờ người mua là nhân viên của Bkav

Vụ trộm tiền ảo lớn nhất lịch sử: Hacker được mời làm cố vấn bảo mật chính

Vụ trộm tiền ảo lớn nhất lịch sử: Hacker được mời làm cố vấn bảo mật chính

Nhiều thủ đoạn tinh vi, phức tạp được hacker sử dụng tấn công vào các lỗ hổng của mạng CNTT trọng yếu

Nhiều thủ đoạn tinh vi, phức tạp được hacker sử dụng tấn công vào các lỗ hổng của mạng CNTT trọng yếu

Ghimob - Mã độc thế hệ mới người dùng khó kiểm soát

Ghimob - Mã độc thế hệ mới người dùng khó kiểm soát

Thuỵ Điển: Lộ 19 GB dữ liệu liên quan đến vấn đề an ninh sau cuộc tấn công mạng

Thuỵ Điển: Lộ 19 GB dữ liệu liên quan đến vấn đề an ninh sau cuộc tấn công mạng

Video xem nhiều

Công ty điện tử Samsung hôm nay tuyên bố đã đạt được tốc độ 5G nhanh nhất trong ngành

Công ty điện tử Samsung hôm nay tuyên bố đã đạt được tốc độ 5G nhanh nhất trong ngành

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Những lưu ý khi sử dụng phương tiện công cộng trong đại dịch Covid-19

Clip: Những lưu ý khi sử dụng phương tiện công cộng trong đại dịch Covid-19

Renault - Samsung nhận được hơn 8000 đơn đặt hàng cho chiếc SUV XM3

Renault - Samsung nhận được hơn 8000 đơn đặt hàng cho chiếc SUV XM3

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Samsung tiết lộ bộ xử lý tích hợp Exynos 980 tích hợp modem 5G

Samsung tiết lộ bộ xử lý tích hợp Exynos 980 tích hợp modem 5G

Gia sư Trí Tuệ Nhân Tạo, giúp bạn thành thạo tiếng Anh!

Gia sư Trí Tuệ Nhân Tạo, giúp bạn thành thạo tiếng Anh!

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hà Nội: Người dân cần nhiều giấy tờ hơn là 'Giấy đi đường'
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019
Tiến sĩ Trần Văn Mạnh (Trung tâm Khuyến nông Quốc gia) đánh giá, việc phát triển sản xuất rau ứng dụng công nghệ cao nói riêng và sản xuất nông nghiệp ứng dụng công nghệ cao nói chung là hướng đi đúng, tạo động lực mới cho ngành nông nghiệp Việt Nam.
Kinh nghiệm quá hữu ích. Cần phổ biến ngay cho các cháu nhỏ.
Chúc mừng ngày thành lập ngành Bưu điện Việt Nam
Bài viết rất hay và ý nghĩa về eKGIS và hội thảo CNTT. Cảm ơn tác giả
Tình yêu , cống hiến ,nổ lực đã vượt qua những trở ngại tưởng chừng như không bao giờ qua được. Chúc Mừng Con người Đẹp , chúng tôi luôn tự hào !
Giờ mình mới biết - Chúc mừng chúc mừng con người Đẹp
Một con người dùng cả một cuộc đời cho tình yêu thiên nhiên . Ông đã đóng góp cống hiến cho nghành thực vật học nước nhà bảo tồn phát triển những loài lan quí hiếm . Xin chúc ngài có một sinh nhật ngài ấm áp hạnh phúc bên người thân . Mong xã hội và trên toàn thế giới có nhiều người tâm huyết như ông . Xin chúc cho tình cảm hữu nghị giữa hai đất nước TL & VN luôn bền chặt và thắm thiết . VN luôn yêu quí các bạn !
Con này chắc không bằng con Netgear Orbi RBS40 đâu mình đã dùng thử và đã lắp đặt nhiều nhà , cơ quan, resort , văn phòng , showroom . Con netgear Orbi có app kiểm tra từ xa và loại đối tượng thông qua tắt ip đối tượng đó
Nhu cầu tuyển dụng tăng gấp đột biến 4 lần trong một thời gian ngắn điều đó phản ánh tỉ lệ thất nghiệp trong những tháng đầu năm là 3/4 do ảnh hưởng của đại dịch covid-19 đây là một điều đáng buồn, rồi các cử nhân, kỹ sư sẽ đi đâu về đâu trong giai đoạn bất ổn này. Để cân bằng lại có thể mất một thời gian dài.