Những điều cần biết về lỗ hổng CVE

Tường Minh
12/05/2021 08:22
D

Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Bài viết này trình bày lý do CVE trở thành tiêu chuẩn công nghiệp cho định danh các lỗ hổng và phơi nhiễm phổ biến hiện nay.

Định nghĩa CVE

Các lỗ hổng và phơi nhiễm phổ biến là một chương trình được khởi xướng vào năm 1999 bởi MITRE, một tổ chức phi lợi nhuận điều hành các trung tâm nghiên cứu và phát triển do Chính phủ Liên bang tài trợ.

Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa quy trình xác thực các lỗ hổng đã được biết.

CVE sử dụng giao thức tự động hóa nội dung bảo mật (Security Content Automation Protocol - SCAP) để thu thập thông tin về các lỗ hổng bảo mật và phơi nhiễm, lập danh mục về các lỗ hổng theo một số nhận dạng khác nhau.

Sau khi được lập thành tài liệu, MITRE cung cấp cho mỗi lỗ hổng một định danh duy nhất. Sau khi cơ sở dữ liệu về lỗ hổng bảo mật của MITRE công bố lỗ hổng, cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (National Vulnerability Database - NVD) cũng công bố CVE với một phân tích bảo mật tương ứng.

CVE cho phép các tổ chức thiết lập cơ sở để đánh giá mức độ bao phủ của các công cụ bảo mật của họ. Các định danh CVE mà công cụ có thể phát hiện được sẽ cho biết chúng có phù hợp với tổ chức hay không. Ngoài ra, các nhà nghiên cứu cũng có thể sử dụng thông tin CVE để tìm kiếm các dấu hiệu của những lỗ hổng đã biết trong quá trình điều tra.

Định danh một CVE

Mỗi một CVE mới sẽ nhận được một định danh duy nhất theo công thức: “CVE” + Năm + số định danh (lớn hơn hoặc bằng 4 chữ số). Ví dụ CVE2018-8589 là một CVE về lỗ hổng tồn tại trên hệ điều hành Windows, thể hiện đây là lỗ hổng công bố năm 2018 với định danh trên cơ sở dữ liệu của MITRE là 8589.

Hình 1. Công thức để đánh số định danh cho 1 mã CVE

Đối với các trường hợp thông thường thì số định danh sẽ do MITRE cung cấp. Tuy nhiên, ngoài MITRE cũng có những đơn vị khác gọi là các tổ chức đánh số thương mại (phi chính phủ) sẽ tham gia cấp số định danh cho những lỗ hổng trên sản phẩm của họ.

Theo thống kê chính xác từ MITRE ngày 04/12/2020 thì con số này là 148 tổ chức đến từ 25 quốc gia trên thế giới. Ngoài ra, Trung tâm Điều phối CERT cũng được chứng nhận để chỉ định số CVE.

Ngoài định danh duy nhất, mỗi bản ghi CVE sẽ chứa ngày mà CVE này được tạo bởi MITRE, theo sau là các trường mô tả và tham chiếu. Nếu lỗ hổng bảo mật không được báo cáo trực tiếp bởi MITRE, trường tham chiếu sẽ bao gồm các đường dẫn đến bài viết hoặc tài liệu nơi lỗ hổng được công bố đầu tiên. Các liên kết khác có thể xuất hiện trong trường này là các trang sản phẩm bị ảnh hưởng bởi CVE.

Cách đăng ký CVE

Để đăng ký một CVE, người báo cáo phải liên hệ với một trong các cơ quan đánh số CVE (CVE Numbering Authorities - CNA) hoặc MITRE. Ngoài ra, người báo cáo cũng có thể đăng một bài cảnh báo lỗ hổng trong danh sách email như Bugtraq, sau đó MITRE sẽ phản hồi vài ngày sau để cung cấp mã CVE.

Thời gian để một CVE mới xuất hiện ở cơ sở dữ liệu của MITRE có thể mất vài ngày đến vài tháng do lượng lỗ hổng được báo cáo đang ngày càng nhiều, dẫn tới nguồn lực của MITRE không đủ để cập nhật kịp thời các lỗ hổng.

Mức độ nghiêm trọng của một CVE

Mỗi CVE nhận được điểm Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) từ NVD sẽ cho biết mức độ nghiêm trọng về bảo mật của nó.

Xếp hạng mức độ nghiêm trọng bảo mật của NVD giúp các nhà phát triển và nhóm bảo mật xác định được mức độ nghiêm trọng và phạm vi ảnh hưởng của lỗ hổng để phân bổ nguồn lực, khắc phục hậu quả.

Điểm CVSS tuân theo một công thức được tạo thành từ vài chỉ số bảo mật. Các chỉ số liên quan đến việc xác định mức độ nghiêm trọng của một lỗ hổng bao gồm hướng truy cập của nó, độ phức tạp của cuộc tấn công, tính bảo mật của dữ liệu được xử lý bởi hệ thống chứa lỗ hổng, tính toàn vẹn của hệ thống bị khai thác. Hiện tại có hai phiên bản của CVSS đang được sử dụng song song là phiên bản 2.0 và 3.0.

CVSS phiên bản 2.0

CVSS phiên bản 2.0 ra mắt vào năm 2007 và được các nhà cung cấp và doanh nghiệp sử dụng rộng rãi như một ngôn ngữ chung để so sánh các lỗ hổng phần mềm. Với CVSS phiên bản 2.0 thì các lỗ hổng được tính điểm dựa trên tác động tổng thể đối với nền tảng máy chủ. CVSS dựa trên ba nhóm chỉ số: Base, Temporal và Environmental chứa các tập chỉ số để tính toán.

Nhóm chỉ số Base: là các chỉ số về các đặc điểm của lỗ hổng bảo mật mà không đổi theo thời gian và trên các môi trường người dùng. Các chỉ số hướng truy cập, độ phức tạp và xác thực sẽ cho biết cách thức truy cập lỗ hổng bảo mật và liệu có cần thêm điều kiện để khai thác nó hay không? Ba chỉ số khác liên quan đến tác động của lỗ hổng chỉ ra rằng nếu bị khai thác sẽ ảnh hưởng trực tiếp đến tài sản CNTT như thế nào? Trong đó, các tác động được xác định độc lập là mức độ mất tính bảo mật, tính toàn vẹn và tính khả dụng. Ví dụ, một lỗ hổng có thể làm mất một phần tính toàn vẹn và tính khả dụng, nhưng không làm mất tính bảo mật.

Hình 2. Đăng ký định danh CVE qua Bugtraq

Nhóm chỉ số Temporal: là chỉ số về các mối đe dọa do lỗ hổng bảo mật gây ra có thể thay đổi theo thời gian. Ba yếu tố mà CVSS quan tâm là xác nhận các chi tiết kỹ thuật của lỗ hổng, tình trạng khắc phục lỗ hổng và tính khả dụng của mã khai thác. Vì chỉ số Temporal là tùy chọn nên mỗi chỉ số bao gồm một giá trị mà không ảnh hưởng đến điểm số. Giá trị này được sử dụng khi người dùng cảm thấy số liệu cụ thể khác của một chỉ số là không phù hợp nên không muốn sử dụng trong việc tính toán điểm số.

Nhóm chỉ số Environmental: là chỉ số về đặc điểm của lỗ hổng liên quan đến môi trường CNTT của người dùng. Các môi trường khác nhau thì ảnh hưởng của lỗ hổng đối với một tổ chức và các bên liên quan sẽ khác nhau. Cũng như nhóm chỉ số Temporal thì nhóm chỉ số Environmental cũng có giá trị tuỳ chọn không ảnh hưởng đến điểm số.

Mặc dù được áp dụng rộng rãi, phiên bản CVSS 2.0 vẫn có những vấn đề quan trọng cần giải quyết. Các chuyên gia cho rằng việc thiếu chi tiết trong một vài chỉ số dẫn đến kết quả là điểm số CVSS không giúp phân loại được các loại lỗ hổng và rủi ro. Vì vậy sau 5 năm, CVSS phiên bản 3.0 đã ra đời để giúp giải quyết các vấn đề tồn đọng của CVSS 2.0.

CVSS phiên bản 3.0

Phiên bản CVSS 3.0 bắt đầu được phát triển từ năm 2012 và phát hành lần đầu tiên vào tháng 6/2015. Trong phiên bản này, một vài chỉ số đã được thay đổi, thêm mới và xóa bỏ. Các công thức để tính điểm đã được cập nhật để kết hợp các chỉ số mới trong khi vẫn giữ nguyên phạm vi điểm hiện tại là 0-10. Ngoài ra, phiên bản này đã đưa ra chính thức phân loại mức độ nghiêm trọng của lỗ hổng dựa trên điểm số:

  • Không nghiêm trọng (0)
  • Thấp (0,1-3,9)
  • Trung bình (4,0-6,9)
  • Cao (7,0-8,9)
  • Nghiêm trọng (9,0-10,0)

Hình 3. Mức độ nghiêm trọng của lỗ hổng phân theo thang điểm

Phiên bản 3.1 của CVSS phiên bản 3 cũng khẳng định điểm số CVSS của một lỗ hổng chỉ dùng để đánh giá mức độ nghiêm trọng của một lỗ hổng và không phải để sử dụng như một điểm độc lập để đánh giá rủi ro.

Điểm này giải quyết việc chuyển đổi từ phiên bản 2.0 sang phiên bản 3.0 đang làm tăng mức độ nghiêm trọng của lỗ hổng, theo thống kê của CISCO dựa trên 748 lỗ hổng có tới 38% đã tăng từ mức Trung bình sang Cao.

Hình 4. So sánh sự thay đổi về mức độ nghiêm trọng giữa hai phiên bản CVSS

Tổng kết

CVE không đơn giản chỉ là một danh sách các lỗ hổng bảo mật thông tin được tiết lộ và phơi bày công khai, mà được thiết kế để cho phép các cơ sở dữ liệu về lỗ hổng và các công cụ khác có thể liên kết được với nhau.

Ngoài ra, CVE còn được sử dụng để so sánh giữa các công cụ về an ninh mạng và các dịch vụ bảo mật. Sử dụng hiệu quả CVE sẽ mang lại rất nhiều lợi ích cho các công ty, tổ chức phát triển sản phẩm và dịch vụ, cũng như các tổ chức về an ninh mạng.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Keysight và Synopsys hợp tác về an ninh mạng cho thiết bị IoT

Keysight và Synopsys hợp tác về an ninh mạng cho thiết bị IoT

Đối phó với sự cố IT trong ngành sản xuất, doanh nghiệp cần làm gì?

Đối phó với sự cố IT trong ngành sản xuất, doanh nghiệp cần làm gì?

Xuất hiện trang web giả mạo thương hiệu EVN

Xuất hiện trang web giả mạo thương hiệu EVN

Fortinet đẩy mạnh hội tụ mạng và bảo mật với danh mục dịch vụ mới

Fortinet đẩy mạnh hội tụ mạng và bảo mật với danh mục dịch vụ mới

Fortinet SecOps Fabric tích hợp AI: Rút ngắn thời gian ứng phó sự cố

Fortinet SecOps Fabric tích hợp AI: Rút ngắn thời gian ứng phó sự cố

Kaspersky ngăn chặn hơn 17 triệu người dùng Việt khỏi các cuộc tấn công lừa đảo qua email

Kaspersky ngăn chặn hơn 17 triệu người dùng Việt khỏi các cuộc tấn công lừa đảo qua email

6 hành vi vô tình của nhân viên có thể đưa doanh nghiệp vào vòng nguy hiểm

6 hành vi vô tình của nhân viên có thể đưa doanh nghiệp vào vòng nguy hiểm

Sàn chứng khoán Zurich gặp trục trặc kỹ thuật hay bị tấn công mạng?

Sàn chứng khoán Zurich gặp trục trặc kỹ thuật hay bị tấn công mạng?

Kaspersky nâng cao nhận thức miễn dịch không gian mạng ở Đông Nam Á

Kaspersky nâng cao nhận thức miễn dịch không gian mạng ở Đông Nam Á

Giải pháp SASE và các thách thức bảo mật từ phương thức làm việc kết hợp

Giải pháp SASE và các thách thức bảo mật từ phương thức làm việc kết hợp

Vietnam Security Summit 2023: Bảo mật dữ liệu là yếu tố then chốt tạo nên một nền kinh tế số thịnh vượng

Vietnam Security Summit 2023: Bảo mật dữ liệu là yếu tố then chốt tạo nên một nền kinh tế số thịnh vượng

Bkav: Hơn 77.000 máy tính tại Việt Nam bị mã hóa dữ liệu tống tiền

Bkav: Hơn 77.000 máy tính tại Việt Nam bị mã hóa dữ liệu tống tiền

Tin mới cập nhật

Trong 9 tháng đầu năm 2023, Việt Nam đã xuất siêu với số lượng hàng hóa trị giá 21.68 tỷ USD

Trong 9 tháng đầu năm 2023, Việt Nam đã xuất siêu với số lượng hàng hóa trị giá 21.68 tỷ USD

Tomorrow Space: Món quà ý nghĩa dịp Trung thu

Tomorrow Space: Món quà ý nghĩa dịp Trung thu

Dự án hoá dầu Stavian Quảng Yên được trao giấy chứng nhận chuyển giao công nghệ

Dự án hoá dầu Stavian Quảng Yên được trao giấy chứng nhận chuyển giao công nghệ

Siêu Hội Trăng Rằm - Samsung ưu đãi 30% cho Galaxy Z Flip5 và Z Fold5

Siêu Hội Trăng Rằm - Samsung ưu đãi 30% cho Galaxy Z Flip5 và Z Fold5

Di Động Việt cam kết có sẵn iPhone 15 series đáp ứng nhu cầu người tiêu dùng

Di Động Việt cam kết có sẵn iPhone 15 series đáp ứng nhu cầu người tiêu dùng

Hợp tác thúc đẩy ngành nước phát triển bền vững

Hợp tác thúc đẩy ngành nước phát triển bền vững

Thiếu máy chụp MRI gây trễ hẹn cho bệnh nhân

Thiếu máy chụp MRI gây trễ hẹn cho bệnh nhân

Việt Nam tăng 2 bậc, xếp thứ 46 trong chỉ số đổi mới sáng tạo toàn cầu

Việt Nam tăng 2 bậc, xếp thứ 46 trong chỉ số đổi mới sáng tạo toàn cầu

ChatGPT có khả năng truy cập Internet không giới hạn để cung cấp thông tin mới nhất

ChatGPT có khả năng truy cập Internet không giới hạn để cung cấp thông tin mới nhất

Hội nghị Thượng đỉnh Kinh doanh Việt Nam SEMI 2023

Hội nghị Thượng đỉnh Kinh doanh Việt Nam SEMI 2023

CellphoneS giao gần 10,000 máy cho khách đặt trước iPhone 15 series chính hãng

CellphoneS giao gần 10,000 máy cho khách đặt trước iPhone 15 series chính hãng

Mừng "Tuổi 20", Minh Tuấn Mobile mở bán sớm iPhone 15 chính hãng với nhiều ưu đãi

Mừng "Tuổi 20", Minh Tuấn Mobile mở bán sớm iPhone 15 chính hãng với nhiều ưu đãi

Tin đọc nhiều

Chiêu thức lừa đảo khách sử dụng thẻ tín dụng

Chiêu thức lừa đảo khách sử dụng thẻ tín dụng

Khoảng 95% các vụ gian lận tài chính liên quan đến người dùng thẻ trực tuyến

Khoảng 95% các vụ gian lận tài chính liên quan đến người dùng thẻ trực tuyến

Trung Quốc nhấn mạnh tầm quan trọng của an ninh mạng trong nền kinh tế số

Trung Quốc nhấn mạnh tầm quan trọng của an ninh mạng trong nền kinh tế số

Google Chrome đang bị tấn công, ảnh hưởng tới 3,2 tỉ người dùng

Google Chrome đang bị tấn công, ảnh hưởng tới 3,2 tỉ người dùng

Kỹ năng an toàn thông tin - 'Lỗ hổng lớn' trên không gian mạng của người dùng Việt

Kỹ năng an toàn thông tin - 'Lỗ hổng lớn' trên không gian mạng của người dùng Việt

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Video xem nhiều

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

Sếp nhà bán lẻ làm lộ ngày bán iPhone 11

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019