CVE là viết tắt của gì và ai quản lý hệ thống này?

CVE là viết tắt của Common Vulnerabilities and Exposures. Đây là một từ điển công khai về các lỗ hổng an ninh mạng đã biết, được quản lý bởi Tập đoàn MITRE và được tài trợ bởi Bộ An ninh Nội địa Hoa Kỳ. Mỗi mục CVE cung cấp một mã định danh tiêu chuẩn, mô tả và các tài liệu tham chiếu cho một lỗ hổng bảo mật cụ thể.

Mã định danh CVE có cấu trúc như thế nào?

Mã định danh CVE theo định dạng CVE-[NĂM]-[SỐ], ví dụ CVE-2023-44487. Năm cho biết thời điểm lỗ hổng được phát hiện hoặc công bố, còn số là một mã tuần tự duy nhất. Hệ thống đặt tên tiêu chuẩn hóa này cho phép các nhóm bảo mật, nhà cung cấp và nhà nghiên cứu trên toàn thế giới tham chiếu nhất quán đến cùng một lỗ hổng trên các nền tảng và cơ sở dữ liệu khác nhau.

Điểm CVSS là gì và nó liên quan đến CVE như thế nào?

Hệ thống Chấm điểm Lỗ hổng Phổ biến (CVSS) là thang điểm số từ 0 đến 10 được gán cho các CVE để chỉ mức độ nghiêm trọng. Điểm số được phân loại thành Thấp, Trung bình, Cao hoặc Nghiêm trọng. Điểm từ 9,0 trở lên được xếp loại Nghiêm trọng, giúp các tổ chức ưu tiên xác định lỗ hổng nào cần được vá và khắc phục ngay lập tức.

VPN có thể giúp bảo vệ trước các mối đe dọa liên quan đến CVE như thế nào?

VPN có thể giảm thiểu khả năng tiếp xúc với một số cuộc tấn công dựa trên CVE bằng cách mã hóa lưu lượng và che giấu sự hiện diện của mạng, khiến kẻ tấn công khó xác định và nhắm mục tiêu vào các dịch vụ dễ bị tổn thương hơn. Tuy nhiên, bản thân phần mềm VPN cũng có thể chứa CVE, vì vậy việc giữ cho VPN client và VPN server luôn được cập nhật là điều thiết yếu để duy trì bảo mật vững chắc.

Lỗ hổng bảo mật (CVE)

Lỗ hổng bảo mật (CVE): Những điều người dùng VPN cần biết

Bảo mật không chỉ đơn giản là có VPN hay một mật khẩu mạnh. Nó còn phụ thuộc vào việc phần mềm bạn đang sử dụng có chứa các điểm yếu đã biết hay không — và liệu những điểm yếu đó đã được vá chưa. Đó là lúc CVE phát huy vai trò của mình.

CVE là gì?

CVE là viết tắt của Common Vulnerabilities and Exposures. Đây là một danh mục công khai tập hợp các lỗ hổng bảo mật đã biết được tìm thấy trong phần mềm, phần cứng và firmware. Mỗi mục trong danh mục được gán một mã định danh duy nhất — chẳng hạn như CVE-2021-44228 (lỗ hổng Log4Shell khét tiếng) — để các nhà nghiên cứu, nhà cung cấp và người dùng đều có thể đề cập đến cùng một vấn đề mà không gây nhầm lẫn.

Hệ thống CVE được duy trì bởi Tập đoàn MITRE và được tài trợ bởi Bộ An ninh Nội địa Hoa Kỳ. Hãy hình dung đây như một cơ sở đăng ký toàn cầu về những thứ đang bị hỏng và cần được sửa chữa.

Bản thân một lỗ hổng bảo mật là bất kỳ điểm yếu nào trong hệ thống mà kẻ tấn công có thể khai thác để truy cập trái phép, đánh cắp dữ liệu, làm gián đoạn dịch vụ hoặc leo thang đặc quyền. Những lỗ hổng này có thể tồn tại trong hệ điều hành, trình duyệt web, VPN client, bộ định tuyến, hoặc hầu hết bất kỳ phần mềm nào.

Hệ thống CVE hoạt động như thế nào?

Khi một nhà nghiên cứu hoặc nhà cung cấp phát hiện ra một lỗ hổng bảo mật, họ sẽ báo cáo cho một Cơ quan Đánh số CVE (CNA) — có thể là MITRE, một nhà cung cấp công nghệ lớn, hoặc một tổ chức điều phối. Lỗ hổng đó sẽ được cấp một mã CVE và mô tả kèm theo.

Mỗi CVE thường được chấm điểm bằng Hệ thống Chấm điểm Lỗ hổng Phổ biến (CVSS), đánh giá mức độ nghiêm trọng từ 0 đến 10. Điểm số trên 9 được xếp loại "Nghiêm trọng" — có nghĩa là kẻ tấn công có thể khai thác từ xa mà không cần nhiều nỗ lực.

Một mục CVE thường bao gồm:

Một mã định danh duy nhất (ví dụ: CVE-2023-XXXX)
Mô tả về lỗ hổng
Các phiên bản phần mềm bị ảnh hưởng
Điểm mức độ nghiêm trọng CVSS
Liên kết đến các bản vá, khuyến cáo bảo mật hoặc giải pháp tạm thời

Ngay khi một CVE được công bố, đồng hồ bắt đầu đếm ngược. Kẻ tấn công dò quét các hệ thống chưa được vá. Các nhà cung cấp chạy đua để phát hành bản sửa lỗi. Người dùng và quản trị viên cần áp dụng các bản vá nhanh chóng — đôi khi chỉ trong vài giờ đối với những lỗ hổng nghiêm trọng.

Tại sao CVE lại quan trọng với người dùng VPN?

Phần mềm VPN không miễn nhiễm với các lỗ hổng bảo mật. Trên thực tế, VPN client và VPN server là những mục tiêu đặc biệt hấp dẫn vì chúng xử lý lưu lượng mã hóa và thường hoạt động với đặc quyền hệ thống cao.

Một số ví dụ thực tế đáng chú ý:

Pulse Secure VPN có một CVE nghiêm trọng (CVE-2019-11510) cho phép kẻ tấn công chưa được xác thực đọc các tệp nhạy cảm — bao gồm cả thông tin đăng nhập. Các tổ chức tấn công do nhà nước bảo trợ đã khai thác lỗ hổng này trên quy mô lớn.
Fortinet FortiOS gặp phải một lỗ hổng vượt qua xác thực tương tự (CVE-2022-40684), cho phép kẻ tấn công chiếm quyền kiểm soát thiết bị từ xa.
OpenVPN và các giao thức phổ biến khác cũng đã từng được gán CVE qua nhiều năm, mặc dù hầu hết đều được vá nhanh chóng nhờ cộng đồng phát triển tích cực.

Nếu VPN client hoặc VPN server của bạn đang chạy phiên bản chưa được vá, thì dù có mã hóa mạnh đến đâu cũng không thể bảo vệ bạn. Kẻ tấn công khai thác thành công một lỗ hổng có thể chặn lưu lượng truy cập, đánh cắp thông tin đăng nhập, hoặc xâm nhập sâu vào mạng của bạn — trước khi bất kỳ đường hầm mã hóa nào được thiết lập.

Bạn nên làm gì?

Luôn cập nhật phần mềm. Đây là biện pháp phòng thủ hiệu quả nhất trước các CVE đã biết. Bật tự động cập nhật nếu có thể, đặc biệt là đối với VPN client và các công cụ bảo mật.

Theo dõi các khuyến cáo bảo mật từ nhà cung cấp. Các nhà cung cấp VPN uy tín và các dự án mã nguồn mở đều công bố thông báo liên quan đến CVE khi phát hiện và vá lỗi. Nếu nhà cung cấp của bạn không minh bạch trong việc thông báo về các vấn đề bảo mật, đó là một dấu hiệu cảnh báo đáng lo ngại.

Theo dõi các cơ sở dữ liệu CVE. Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) tại nvd.nist.gov là một nguồn tài nguyên miễn phí, có thể tìm kiếm. Bạn có thể tra cứu bất kỳ sản phẩm phần mềm nào để xem lịch sử CVE của nó.

Sử dụng phần mềm được bảo trì tích cực. Các sản phẩm có cộng đồng nhà phát triển lớn thường phản hồi với CVE nhanh hơn. Phần mềm VPN bị bỏ rơi hoặc hiếm khi cập nhật có thể chứa các lỗ hổng chưa được vá đang bị phơi bày.

Áp dụng các bản vá kịp thời. Đặc biệt đối với những lỗ hổng nghiêm trọng (CVSS 9+), sự chậm trễ có thể gây ra hậu quả nặng nề. Nhiều cuộc tấn công ransomware và các vụ rò rỉ dữ liệu bắt đầu từ việc khai thác một lỗ hổng đã biết và có thể vá được.

Bức tranh toàn cảnh

CVE là dấu hiệu cho thấy bảo mật đang được coi trọng — chứ không phải dấu hiệu cho thấy nó đang thất bại. Việc các lỗ hổng được ghi lại, chấm điểm và công bố chính là một đặc điểm của một hệ sinh thái bảo mật lành mạnh. Mối nguy hiểm không nằm ở bản thân CVE; mà nằm ở việc để hệ thống không được vá sau khi CVE đó được công bố.

Đối với cả người dùng VPN lẫn quản trị viên, việc nắm bắt thông tin về CVE là một phần cốt lõi của thói quen bảo mật có trách nhiệm.

Lỗ hổng bảo mật (CVE)Trung cấp