ماذا تعني CVE ومن يديرها؟

تعني CVE اختصاراً لـ Common Vulnerabilities and Exposures. وهي قاموس متاح للعموم يضم الثغرات الأمنية المعروفة في مجال الأمن السيبراني، تديره مؤسسة MITRE وترعاه وزارة الأمن الداخلي الأمريكية. يوفر كل إدخال في CVE معرّفاً موحداً ووصفاً ومراجع خاصة بثغرة أمنية محددة.

كيف يتم تنظيم معرّف CVE؟

يتبع معرّف CVE الصيغة CVE-[السنة]-[الرقم]، على سبيل المثال CVE-2023-44487. تشير السنة إلى وقت اكتشاف الثغرة أو الإفصاح عنها، والرقم هو معرّف تسلسلي فريد. يتيح نظام التسمية الموحد هذا لفرق الأمان والموردين والباحثين في جميع أنحاء العالم الإشارة باتساق إلى الثغرة ذاتها عبر مختلف المنصات وقواعد البيانات.

ما هو مقياس CVSS وكيف يرتبط بـ CVE؟

يُعدّ Common Vulnerability Scoring System أو CVSS تقييماً رقمياً يتراوح بين 0 و10، يُخصص لـ CVEs للدلالة على مستوى الخطورة. تُصنَّف الدرجات على أنها منخفضة أو متوسطة أو عالية أو حرجة. تُعتبر الدرجة 9.0 فما فوق حرجة، مما يساعد المؤسسات على تحديد أولويات الثغرات التي تستلزم التصحيح والمعالجة الفورية.

كيف يمكن لـ VPN أن يساعد في الحماية من التهديدات المرتبطة بـ CVE؟

يمكن لـ VPN أن يقلل من التعرض لبعض الهجمات المبنية على CVE عن طريق تشفير حركة المرور وإخفاء تواجدك على الشبكة، مما يُصعّب على المهاجمين تحديد الخدمات الضعيفة واستهدافها. غير أن برامج VPN نفسها قد تحتوي على CVEs، لذا فإن تحديث عميل VPN والخادم باستمرار أمر ضروري للحفاظ على أمان قوي.

Vulnerability (CVE)

الثغرة الأمنية (CVE): ما يجب أن يعرفه كل مستخدم VPN

الأمان لا يقتصر على امتلاك VPN أو كلمة مرور قوية. فهو يعتمد أيضاً على ما إذا كانت البرامج التي تعتمد عليها تحتوي على ثغرات معروفة — وما إذا كانت هذه الثغرات قد تم إصلاحها. وهنا يأتي دور CVEs.

ما هو CVE؟

CVE اختصار لـ Common Vulnerabilities and Exposures. وهو فهرس متاح للعموم يضم الثغرات الأمنية المعروفة الموجودة في البرامج والأجهزة والبرامج الثابتة. يحصل كل إدخال على معرّف فريد — مثل CVE-2021-44228 (ثغرة Log4Shell الشهيرة) — حتى يتمكن الباحثون والموردون والمستخدمون من الإشارة إلى المشكلة ذاتها دون أي التباس.

يُدار نظام CVE من قِبل مؤسسة MITRE Corporation برعاية وزارة الأمن الداخلي الأمريكية. تخيّله سجلاً عالمياً للأشياء المعطوبة التي تحتاج إلى إصلاح.

الثغرة الأمنية في حد ذاتها هي أي ضعف في نظام ما يمكن أن يستغله مهاجم للحصول على وصول غير مصرح به، أو سرقة البيانات، أو تعطيل الخدمات، أو تصعيد الصلاحيات. قد توجد هذه العيوب في أنظمة التشغيل، أو متصفحات الويب، أو عملاء VPN، أو أجهزة التوجيه، أو أي برنامج تقريباً.

كيف يعمل نظام CVE

عندما يكتشف باحث أو مورد ثغرة أمنية، يُبلّغ عنها إلى جهة ترقيم CVE (CNA) — والتي قد تكون MITRE، أو أحد كبار موردي التقنية، أو هيئة تنسيق متخصصة. يُسند إلى الثغرة معرّف CVE ووصف تفصيلي.

كما يُقيَّم كل CVE عادةً باستخدام نظام تقييم الثغرات الشائعة (CVSS)، الذي يصنّف مستوى الخطورة من 0 إلى 10. تُعدّ الدرجة التي تتجاوز 9 "حرجة" — مما يعني أنه يمكن للمهاجمين على الأرجح استغلالها عن بُعد بجهد ضئيل.

إليك ما يتضمنه إدخال CVE النموذجي:

معرّف فريد (مثل CVE-2023-XXXX)
وصف للثغرة
إصدارات البرامج المتأثرة
درجة خطورة CVSS
روابط للتصحيحات والنشرات الأمنية أو الحلول المؤقتة

بمجرد نشر CVE، يبدأ العد التنازلي. يبحث المهاجمون عن الأنظمة غير المُرقَّعة. يتسابق الموردون لإصدار الإصلاحات. ويحتاج المستخدمون والمسؤولون إلى تطبيق التصحيحات بسرعة — وأحياناً في غضون ساعات للثغرات الحرجة.

لماذا تهم CVEs مستخدمي VPN

برامج VPN ليست بمنأى عن الثغرات الأمنية. بل إن عملاء VPN وخوادمها أهداف بالغة الجاذبية تحديداً، لأنها تتعامل مع حركة المرور المشفرة وغالباً ما تعمل بصلاحيات نظام مرتفعة.

بعض الأمثلة الحقيقية البارزة:

Pulse Secure VPN تعرّض لثغرة CVE حرجة (CVE-2019-11510) أتاحت لمهاجمين غير موثّقين قراءة ملفات حساسة — بما فيها بيانات الاعتماد. واستغلّتها جهات تهديد ترعاها دول استغلالاً واسعاً.
Fortinet FortiOS عانى من ثغرة تجاوز المصادقة (CVE-2022-40684) التي مكّنت المهاجمين من السيطرة على الأجهزة عن بُعد.
OpenVPN والبروتوكولات الشائعة الأخرى تلقّت تعيينات CVE على مرّ السنين، وإن كان معظمها قد رُقِّع بسرعة بفضل مجتمعات التطوير النشطة.

إذا كان برنامج عميل VPN أو خادمه يعمل بإصدار غير مُرقَّع، فلن يحميك أي تشفير في العالم. فالمهاجم الذي يستغل ثغرة ما يستطيع في المحتمل اعتراض حركة المرور، أو سرقة بيانات الاعتماد، أو التسلل إلى شبكتك — قبل أن يُنشأ أي نفق مشفر أصلاً.

ما الذي ينبغي عليك فعله

حافظ على تحديث برامجك. هذا هو الدفاع الأكثر فاعلية بعيد المدى ضد CVEs المعروفة. فعّل التحديثات التلقائية حيثما أمكن، لا سيما لعملاء VPN وأدوات الأمان.

تابع النشرات الأمنية لمزودك. يصدر موفرو VPN ذوو السمعة الطيبة والمشاريع مفتوحة المصدر إشعارات تتعلق بـ CVE عند اكتشاف الثغرات وإصلاحها. إذا كان مزودك لا يتواصل بشفافية حول المشكلات الأمنية، فهذا مؤشر تحذيري.

راقب قواعد بيانات CVE. قاعدة البيانات الوطنية للثغرات (NVD) على nvd.nist.gov مورد مجاني وقابل للبحث، يتيح لك الاطلاع على تاريخ CVE لأي منتج برمجي.

استخدم برامج يجري صيانتها بنشاط. المنتجات التي تحظى بمجتمع مطوّرين كبير تستجيب عادةً لـ CVEs بشكل أسرع. أما برامج VPN المهجورة أو نادرة التحديث فقد تحتوي على ثغرات غير مُرقَّعة مكشوفة للعموم.

طبّق التصحيحات على الفور. خاصةً للثغرات الحرجة (CVSS 9+)، فالتأخير قد يكون مكلفاً. كثير من هجمات برامج الفدية وانتهاكات البيانات تبدأ باستغلال ثغرة معروفة وقابلة للإصلاح.

الصورة الأشمل

CVEs علامة على أن الأمان يُؤخذ بجدية — لا دليل على فشله. إن توثيق الثغرات وتقييمها والإفصاح عنها سمةٌ من سمات منظومة أمنية معافاة. الخطر لا يكمن في CVE ذاته؛ بل في ترك الأنظمة دون تصحيح بعد نشره.

لمستخدمي VPN والمسؤولين على حدٍّ سواء، البقاء على دراية بـ CVE جزء أساسي من النظافة الأمنية المسؤولة.

Vulnerability (CVE)متوسط