Jatkuuko CVE-tunnuksen tarina vielä toiset kymmenen vuotta?
Kommentoi
Haavoittuvuuksien tunnistamiseen käytettävä CVE-hanke (Common Vulnerabilities and Exposures) on täyttänyt jo kymmenen vuotta.
Tietueiden määrä on noussut alkuaikojen muutamasta sadasta yli 39 000:een. Monien turva-ammattilaisten muistamat, CVE:iden rinnalla kulkeneet CAN-kandidaattitunnukset jäivät nelisen vuotta sitten pois käytöstä.
Ohjelmistovalmistajista omat CVE-sarjansa ovat saaneet käyttöön mm. Adobe, Apple, Debian, Microsoft ja Oracle. Tunnuksia ovat tietoturvatiedonannoissaan (advisory) sitoutuneet käyttämään yli 70 eri kokoista alan toimijaa - jopa piskuinen Slovenian CERT-tiimi.
Kaiken kaikkiaan CVE-hanke elää ja voi paksusti - eikä vähiten Yhdysvaltain Kotimaan turvallisuuden viraston eli DHS:n National Cybersecurity Division -yksiköltä muutaman vuoden ajan saamansa taloudellisen tuen ansiosta.
Tunnusten käyttö on levinnyt laajalle ja toimii hyvin - tunnusten referenssien avulla lisätiedon löytäminen haavoittuvuuksista helpottuu.
Apua haittaohjelmien nimeämissekamelskaan?
Erityisesti tunnuksia soisi näkyvän kuitenkin enemmän haittaohjelmien nimissä helpottamassa esimerkiksi troijalaisten yhdistämistä nollapäivähaavoittuvuuksiin. CVE:n käyttö nimissä on vielä hyvin harvinaista. Tunnusta CVE-2008-4250 on käytetty jonkin verran MS08-067-haavoittuvuutta hyödyntävän RPC-madon nimeämisessä. Fortinet-yhtiöltä löytyy nimiharvinaisuus W32/CVE20065994!exploit, joka tuli käyttöön vuonna 2006 kohdistettuihin hyökkäyksiin käytetyn Microsoft Wordin nollapäivähaavoittuvuuden troijalaisen nimeämisessä.
Kesällä paikattu Windowsin ATL-haavoittuvuus on kirvoittanut virustorjujatoimijat antamaan yllättävän monta CVE-2008-0015:n sisältävää nimeä aukkoa hyödyntävälle JavaScript-haittaohjelmalle:
JS/Exploit.CVE-2008-0015.A.Gen (ESET)
JS:CVE-2008-0015-A (Avast)
Exploit:JS/CVE-2008-0015 (Microsoft)
Paria vuotta aikaisemmin taas löytyy pelkkä CVE-tunnus nimenä: CVE-2006-3059 (F-Secure)
Haittaohjelmien nimien yhtenäistämiseen tähtäävä Mitren CME-sisarhanke (Common Malware Enumeration) on pian kaksi vuotta elänyt hiljaiseloa.
Voisiko CVE-tunnuksesta tulla helpotusta? Ratkaisu pidentäisi nimiä 13 merkillä, mutta tunnus voitaisiin hyvin kirjoittaa myös ilman erotinviivoja. Uudet haittaohjelmathan ovat pitkälti vanhojen muunnoksia, jolloin ainoastaan varianttia kuvaava pääte nimessä muuttuu.
Esimerkiksi kolmisen viikkoa sitten löydetyn Acrobat-haavoittuvuuden troijalaiset tunnetaan Exploit-PDF.x-, TROJ_PIDIEF.XX- ja Troj/PDFJs-X-muotoisilla nimillä. Nimistä on vaikea päätellä niiden liittyvän Adobe Acrobatin nollapäivähaavoittuvuuteen (CVE-2009-3459).
Entä jos tietoturvaihmiset voisivatkin merkkijonon CVE20093459 virustorjunnan lokeista löytäessään saada tiedon organisaationsa joutumisesta kohdistetun hyökkäyksen kohteeksi?
blogi