Una CVE (Common Vulnerabilities and Exposures) è un identificativo univoco assegnato a una vulnerabilità nota in un sistema informatico, un software o un hardware. Permette di nominare e tracciare precisamente una falla, anche quando è trattata da diversi fornitori, strumenti o database. Ogni CVE segue il formato CVE-anno-numero, come ad esempio CVE-2023-12345.
Lo scopo delle CVE è di uniformare la comunicazione riguardo alle falle di sicurezza: invece di utilizzare descrizioni variabili, tutti gli attori possono fare riferimento allo stesso identificativo. Ciò facilita il coordinamento tra i ricercatori, gli editori di software, i team di sicurezza e i fornitori di soluzioni di sicurezza.
I CVE svolgono un ruolo centrale nella gestione delle vulnerabilità. Forniscono un linguaggio comune a tutti gli attori della cybersecurity per tracciare e documentare le falle, il che permette di dare priorità alle correzioni, automatizzare le analisi e strutturare la sorveglianza della sicurezza. Senza i CVE, ogni editore o ricercatore potrebbe descrivere una falla in modo diverso, rendendo il coordinamento complesso.
Sono anche utilizzati dagli strumenti di scansione delle vulnerabilità, dai SIEM, dai SOC e dai CISO per stabilire delle politiche di risposta agli incidenti. La loro adozione mondiale garantisce che le falle siano identificabili e che le difese possano essere attivate più rapidamente e in modo coordinato.
Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.
Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.
Una CVE (Common Vulnerabilities and Exposures) è una falla di sicurezza già identificata, documentata e pubblicata in un database ufficiale. È nota al pubblico e, in generale, sono in corso o già disponibili delle patch correttive. Invece, una zero-day è una falla non ancora divulgata, quindi non registrata in una CVE al momento della sua scoperta.
In altre parole, ogni zero-day può diventare una CVE, ma non tutte le CVE sono zero-day. Il rischio maggiore di una zero-day è proprio che sia sfruttabile prima ancora della sua segnalazione, mentre una CVE è per definizione una vulnerabilità in fase di trattamento o di correzione.
No, l'esistenza di una CVE non garantisce che sia disponibile una patch. Una CVE può essere pubblicata prima che un fornitore abbia sviluppato una patch, o anche in casi in cui non è prevista alcuna patch (ad esempio, per software obsoleti o non più supportati). In queste situazioni, gli utenti devono implementare misure di mitigazione o disabilitare determinate funzionalità vulnerabili.
È quindi essenziale non solo consultare le CVE, ma anche verificare le raccomandazioni dei fornitori e database come l'NVD o il database KEV, che possono indicare se esiste una patch e entro quali tempistiche è prevista. Una buona gestione dei rischi tiene conto sia della gravità della vulnerabilità sia della disponibilità di soluzioni.