Qué es un CVE y entidades en España que son CNA

Introducción

Las vulnerabilidades y exposiciones comunes o CVE (Common Vulnerabilitiesand Exposures) se refiere a la lista pública de vulnerabilidades de seguridad. Cada CVE tiene asignado un identificador único siguiendo la nomenclatura CVE-AÑO-ID.  

Los CVE ayudan a conocer los fallos de seguridad en los productos y sistemas, identificar posibles mitigaciones y soluciones, mantener un seguimiento y una planificación de las actualizaciones necesarias, generar un análisis de riesgos en base a la criticidad del CVE, etc.

La lista de CVEs fue creada por MITRE en 1999 y es mantenida por esta misma entidad en la actualidad. Esta lista alimenta, a su vez, la base de datos nacional de vulnerabilidades estadounidense (National Vulnerability Database o NVD).

Formato de los CVE

Cada CVE publicado incluye los siguientes elementos:

  • Número identificativo
  • Descripción de la vulnerabilidad
  • Referencias

El formato de los CVE sigue la nomenclatura CVE-YYYY-ID. Donde ‘Y’ indica el año de publicación de la vulnerabilidad, mientras que ‘ID’ se trata de un identificador único de 4 o más dígitos.

Dentro de la descripción de la vulnerabilidad, encontramos una pequeña explicación, los productos y versiones a los que afecta y la afectación a nivel de confidencialidad, integridad y disponibilidad que pueda generar.

También suelen incluir los boletines de seguridad o los informes de los fabricantes en los que se anuncian las nuevas vulnerabilidades descubiertas o solucionadas.

Cada CVE puede tener los diferentes estados que se incluyen a continuación:

  • RESERVED’ se utiliza cuando se ha asignado dicho CVE a una vulnerabilidad, pero aún no se han hecho públicos sus detalles. Una vez se publique el resto de información, se añade la descripción al CVE, se quita el estado ‘RESERVED’ en la lista de MITRE y pasa a añadirse a la NVD (U.S. National Vulnerability Database). La lista de MITRE no contempla el estado de ‘publicado’ ya que este se da por hecho cuando la descripción e información del CVE están completos.
  • DISPUTED’ es el estado asignado en caso de que dos organizaciones estén en desacuerdo sobre que el problema reportado sea realmente una vulnerabilidad. Este estado suele incluir más investigación acerca del problema, en vez de otorgar la razón a una única organización.
  • ‘REJECT’ se asigna cuando un CVE no ha sido aceptado. Suele otorgarse, por ejemplo, cuando el CVE se encuentra repetido, algún problema administrativo o a petición del autor original. Dicha razón suele venir dada en la descripción. También cambiar este estado a ‘RESERVED’ en casos concretos, como cuando el CVE ya ha sido utilizado públicamente.  

En la siguiente imagen se adjuntan ejemplos de CVE que incluyen los tipos de estado arriba descritos.

Formato de los CVE

¿Cómo se registran los CVEs?

Si se descubre una nueva vulnerabilidad, es posible solicitar un nuevo CVE ID. Primero es necesario identificar bajo que dominio recae dicho problema, consultando en la lista de CNAs disponible en la página oficial de MITRE [1].  Dentro de dicha lista, se especifica el método de contacto con el CNA para reportar la vulnerabilidad. Finalmente, el CNA en cuestión se encargará de realizar el proceso necesario para la adjudicación del nuevo CVE ID.

En caso de que no esté listado en ninguno de los ámbitos de aplicación incluidos en la lista de CNAs, será necesario contactar un CNA de último recurso (CNA-LR).

Aunque es posible solicitar un CVE para cualquier vulnerabilidad, para asignarlos, se priorizan las vulnerabilidades de vendedores, productos y categorías listadas en las tablas de MITRE.

¿Qué es un CNA?

Las CNA (CVE Numbering Authorities) son las entidades acreditadas para la asignación de nuevos CVEs para las vulnerabilidades de seguridad en los productos. Para solicitar la asignación de un nuevo CVE, hay que dirigirse al CNA correspondiente, ajustándose al campo de aplicación pertinente.  

Existen diversos roles dentro de las entidades CNA:

  • CNA: organizaciones con un ámbito concreto de asignación de vulnerabilidades. En la lista de CNA participantes publicada por MITRE se da una descripción del campo de aplicación de cada CNA.
  • CNA-LR (CNA de último recurso): se trata de las organizaciones que cubren todos aquellos campos de aplicación que el resto de las entidades CNA no incluyen y están autorizadas para asignar nuevos CVEs.
  • Raíz o Root: organización responsable de la formación, el reclutamiento y gestión de los CNAs de un ámbito concreto.
  • Raíz de nivel superior o Top-Level Root: organización superior que responde ante el CVE Board, el cual incluye múltiples organizaciones de Ciberseguridad.

En la imagen siguiente se incluyen las tablas que contienen los CNAs más relevantes (Root y Top-Level Root).

¿Qué es un CNA?

Entre los tipos de CNA encontramos entidades que organizan Bug Bounties, CERTs, vendedores y fabricantes o investigadores de vulnerabilidades tanto particulares como pertenecientes a distintas organizaciones.

Formar parte del programa de CNAs es de carácter voluntario y permite a la organización la publicación de CVEs ya asignados, reservarse el derecho a publicar información de la vulnerabilidad o la ventaja de asignar y notificar nuevos CVEs que se soliciten.

Entidades CNA en España

El programa de CNAs cuenta actualmente con 181 organizaciones acreditadas como CNA y distribuidas en 31 países diferentes. Dichas entidades, junto con el ámbito de aplicación, se pueden encontrar bajo la lista publicada por MITRE de CNAs participantes. En España existen 2 entidades CNA acreditadas para la asignación y publicación de vulnerabilidades.

El Instituto Nacional de Ciberseguridad (INCIBE) es, desde enero de 2020, la primera organización asignada en España como CNA. En el ámbito de competencia de la organización se encuentran las vulnerabilidades de Sistemas de Control Industrial (ICS), Tecnologías de la Información (IT), Internet de las cosas (IoT) a nivel nacional, así como vulnerabilidades de organizaciones españolas que no sean del ámbito de otros CNA.

Dentro de las vulnerabilidades que el INCIBE admite se encuentran vulnerabilidades Zero Day o nuevas vulnerabilidades que no son conocidas por el fabricante al que afectan. No se admiten aquellas vulnerabilidades que ya tengan un CVE asignado y hayan sido publicadas por los respectivos fabricantes. El INCIBE ofrece información detallada de como reportar una nueva vulnerabilidad para la asignación de su correspondiente CVE.

Asimismo, el 17 de junio de 2021, el INCIBE pasó a asumir el rol de Root para organizar y atraer la creación de otros CNA bajo el mismo ámbito. Otras funciones de la entidad es garantizar la correcta asignación de CVEs por parte de los CNA bajo su coordinación, garantizar la participación activa de estas organizaciones, así como se encarga de la resolución de conflictos y la inclusión nuevos CNA al programa voluntario, encargándose de promover la incorporación de nuevas organizaciones.

La segunda entidad española que actúa como CNA se trata de Alias Robotics S.L. y bajo su competencia se incluyen las vulnerabilidades de robots de terceros y sus componentes, tanto hardware como software.

Referencias

https://cve.mitre.org/cve/request_id.html

https://cve.mitre.org/about/faqs.html

https://www.incibe.es/asignacion-publicacion-cve