Što znači CVE i tko njime upravlja?

CVE je kratica za Common Vulnerabilities and Exposures. Radi se o javno održavanom rječniku poznatih ranjivosti u kibernetičkoj sigurnosti, kojim upravlja korporacija MITRE uz financijsku podršku američkog Ministarstva domovinske sigurnosti. Svaki CVE unos pruža standardizirani identifikator, opis i reference za određenu sigurnosnu grešku.

Kako je strukturiran CVE identifikator?

CVE identifikator slijedi format CVE-[GODINA]-[BROJ], na primjer CVE-2023-44487. Godina označava kada je ranjivost otkrivena ili objavljena, a broj je jedinstveni redoslijedni ID. Ovaj standardizirani sustav imenovanja omogućuje sigurnosnim timovima, dobavljačima i istraživačima diljem svijeta dosljedno referenciranje iste ranjivosti na različitim platformama i bazama podataka.

Što je CVSS ocjena i kako se odnosi na CVE-ove?

Common Vulnerability Scoring System (CVSS) je numerička ocjena od 0 do 10 koja se dodjeljuje CVE-ovima radi označavanja ozbiljnosti. Ocjene se kategoriziraju kao Niske, Srednje, Visoke ili Kritične. Ocjena 9.0 ili viša smatra se Kritičnom, što pomaže organizacijama u određivanju prioriteta za ranjivosti koje zahtijevaju hitno krpanje i sanaciju.

Kako VPN može pomoći u zaštiti od prijetnji povezanih s CVE-ovima?

VPN može smanjiti izloženost nekim napadima temeljenim na CVE-ovima tako što šifrira promet i maskira vašu mrežnu prisutnost, čineći napadačima težim identificiranje i ciljanje ranjivih usluga. Međutim, sam VPN softver može sadržavati CVE-ove, stoga je redovno ažuriranje VPN klijenta i poslužitelja ključno za održavanje snažne sigurnosti.

Ranjivost (CVE)

Ranjivost (CVE): Što svaki korisnik VPN-a treba znati

Sigurnost nije samo pitanje korištenja VPN-a ili snažne lozinke. Ovisi i o tome ima li softver na koji se oslanjate poznate slabosti — i jesu li te slabosti ispravljene. Tu na scenu stupaju CVE-ovi.

Što je CVE?

CVE je kratica za Common Vulnerabilities and Exposures. Radi se o javno dostupnom katalogu poznatih sigurnosnih propusta pronađenih u softveru, hardveru i firmwareu. Svaki unos dobiva jedinstveni identifikator — poput CVE-2021-44228 (ozloglašeni propust Log4Shell) — kako bi istraživači, proizvođači i korisnici mogli govoriti o istom problemu bez zabune.

CVE sustav održava MITRE Corporation uz potporu američkog Ministarstva domovinske sigurnosti. Zamislite ga kao globalni registar svega što je pokvareno i što treba popraviti.

Ranjivost sama po sebi predstavlja svaku slabost u sustavu koju napadač može iskoristiti kako bi stekao neovlašteni pristup, ukrao podatke, poremetio usluge ili proširio privilegije. Ti propusti mogu postojati u operativnim sustavima, web preglednicima, VPN klijentima, usmjerivačima ili gotovo svakom komadu softvera.

Kako funkcionira CVE sustav

Kada istraživač ili proizvođač otkrije sigurnosni propust, prijavljuje ga tijelu nadležnom za dodjelu CVE oznaka (CNA) — koje može biti MITRE, neki od velikih tehnoloških proizvođača ili koordinacijsko tijelo. Propustu se dodjeljuje CVE identifikator i opis.

Svakom CVE-u se obično dodjeljuje i ocjena prema Common Vulnerability Scoring System (CVSS) sustavu, koji rangira ozbiljnost na skali od 0 do 10. Ocjena iznad 9 smatra se „Kritičnom" — što znači da je napadačima propust vjerojatno moguće iskoristiti daljinski, uz minimalan trud.

Evo što tipičan CVE unos obično sadrži:

Jedinstveni identifikator (npr. CVE-2023-XXXX)
Opis propusta
Zahvaćene verzije softvera
CVSS ocjenu ozbiljnosti
Poveznice na zakrpe, sigurnosna upozorenja ili privremena rješenja

Čim CVE postane javan, odbrojavanje počinje. Napadači skeniraju sustave kojima nisu primijenjene zakrpe. Proizvođači žure s objavom ispravaka. Korisnici i administratori moraju brzo primijeniti zakrpe — ponekad unutar nekoliko sati za kritične propuste.

Zašto su CVE-ovi važni za korisnike VPN-a

VPN softver nije imun na ranjivosti. Štoviše, VPN klijenti i poslužitelji posebno su privlačne mete jer obrađuju kriptirani promet i često rade s povišenim sistemskim privilegijama.

Nekoliko značajnih primjera iz stvarnog svijeta:

Pulse Secure VPN imao je kritičan CVE (CVE-2019-11510) koji je neautenticiranim napadačima omogućavao čitanje osjetljivih datoteka — uključujući vjerodajnice. Državni akteri intenzivno su ga iskorištavali.
Fortinet FortiOS pogodio je sličan propust zaobilaženja autentikacije (CVE-2022-40684) koji je napadačima omogućio preuzimanje kontrole nad uređajima daljinski.
OpenVPN i drugi popularni protokoli kroz godine su dobivali CVE oznake, no većina ih je brzo zakrpana zahvaljujući aktivnim razvojnim zajednicama.

Ako vaš VPN klijent ili poslužiteljski softver koristi verziju bez primijenjenih zakrpa, nikakva kriptografija na svijetu vas neće zaštititi. Napadač koji iskoristi ranjivost potencijalno može presresti promet, ukrasti vjerodajnice ili se infiltrirati u vašu mrežu — prije nego što se ikakav kriptirani tunel uopće uspostavi.

Što biste trebali učiniti

Održavajte softver ažuriranim. To je najučinkovitija obrana od poznatih CVE-ova. Omogućite automatska ažuriranja gdje je to moguće, posebno za VPN klijente i sigurnosne alate.

Pratite sigurnosna upozorenja svog pružatelja usluga. Renomirani VPN pružatelji i projekti otvorenog koda objavljuju obavijesti vezane uz CVE kada se propusti otkriju i zakrpaju. Ako vaš pružatelj ne komunicira transparentno o sigurnosnim problemima, to je znak upozorenja.

Pratite CVE baze podataka. Nacionalna baza podataka o ranjivostima (NVD) na nvd.nist.gov besplatan je, pretraživanji resurs. Možete potražiti bilo koji softverski proizvod kako biste vidjeli njegovu CVE povijest.

Koristite aktivno održavani softver. Proizvodi s velikom razvojnom zajednicom obično brže reagiraju na CVE-ove. Napušteni VPN softver ili onaj koji se rijetko ažurira može imati nezakrpane propuste koji su javno poznati.

Primjenjujte zakrpe bez odlaganja. Posebno za kritične propuste (CVSS 9+), odgađanje može biti skupo. Mnogi ransomware napadi i povrede podataka počinju iskorištavanjem poznate, zakrpive ranjivosti.

Šira slika

CVE-ovi su znak da se sigurnost shvaća ozbiljno — a ne da ona zakazuje. Činjenica da se ranjivosti dokumentiraju, ocjenjuju i objavljuju obilježje je zdravog sigurnosnog ekosustava. Opasnost nije sam CVE; opasnost je ostavljanje sustava bez zakrpa nakon što je CVE objavljen.

Za korisnike VPN-a i administratore podjednako, praćenje CVE-ova temeljni je dio odgovorne sigurnosne higijene.

Ranjivost (CVE)Srednji