Oltre il codice: che cos'è davvero una CVE?

Se ti occupi di sicurezza informatica, o se hai iniziato a leggere report di scansione della tua rete, avrai sicuramente incontrato stringhe come CVE-2023-XXXXX. A prima vista sembrano codici fiscali per software difettosi.

In realtà, le CVEs (Common Vulnerabilities and Exposures) sono il linguaggio universale della cybersecurity. Immaginale come un catalogo globale di falle di sicurezza pubblicamente conosciute. Senza questo standard, ogni vendor chiamerebbe lo stesso bug in modo diverso, creando un caos comunicativo insostenibile tra chi scopre l'errore e chi deve patcharlo.

Proprio così'.

Il sistema è gestito dalla MITRE Corporation e finanziato dal governo statunitense, ma il suo impatto è mondiale. Quando una vulnerabilità viene assegnata a un ID CVE, smette di essere un "problema interno" di un software per diventare un punto di riferimento pubblico. Questo permette agli amministratori di sistema di sapere esattamente cosa aggiornare senza dover interpretare manuali tecnici infiniti.

Come nasce una CVE e chi decide cosa è pericoloso

Non tutto ciò che è "rotto" in un programma diventa una CVE. C'è un processo preciso, quasi burocratico, ma necessario per evitare il panico ingiustificato.

Tutto parte da una scoperta. Può essere un ricercatore indipendente, un team di sicurezza aziendale o persino un hacker etico che nota un comportamento anomalo in un software. Una volta identificata la falla, l'informazione viene inviata a un CNA (CVE Numbering Authority).

I CNA sono organizzazioni autorizzate a assegnare i numeri CVE. Molti grandi vendor, come Microsoft o Google, sono essi stessi CNA. Questo accelera i tempi: loro sanno meglio di chiunque altro dove risiede il bug nel loro codice.

Un dettaglio non da poco: la trasparenza. Una volta che la patch è pronta (o se la vulnerabilità è già stata sfruttata pubblicamente), l'ID CVE viene pubblicato insieme a una descrizione sintetica della falla. Questo è il momento in cui il mondo intero scopre che esiste un buco nella serratura e deve correre a cambiarla.

Il legame indissolubile tra CVEs e punteggio CVSS

Avere un elenco di migliaia di CVEs è utile, ma non è sufficiente. Se hai 500 vulnerabilità nel tuo sistema, da dove inizi? Non puoi patchare tutto contemporaneamente senza rischiare di mandare in crash l'intera infrastruttura.

Qui entra in gioco il CVSS (Common Vulnerability Scoring System). Mentre la CVE identifica cosa è rotto, il CVSS ci dice quanto sia grave.

Il punteggio va da 0 a 10. Un 10.0 è un incubo: significa che l'attaccante può entrare nel sistema senza credenziali, da remoto, e prendere il controllo totale con estrema facilità. Un 3.0, invece, potrebbe richiedere un accesso fisico alla macchina o condizioni così specifiche da rendere l'attacco quasi improbabile nella realtà.

Attenzione però. Il punteggio CVSS è una misura teorica della gravità. Non tiene conto del contesto specifico della tua azienda. Una CVE con punteggio 9.8 su un server isolato che non tocca internet è molto meno pericolosa di una CVE 6.0 su un server che espone i dati dei tuoi clienti.

Perché monitorare le CVEs salva il business

Ignorare l'aggiornamento delle CVEs non è solo pigrizia tecnica, è un rischio finanziario. La maggior parte degli attacchi ransomware non usa "magia" o zero-day sofisticatissimi, ma sfrutta vulnerabilità già note e catalogate per cui esisteva già una patch.

L'attaccante scansiona la rete, trova un servizio che risponde a una specifica CVE e applica l'exploit. Semplice. E letale.

Gestire le CVEs significa implementare un processo di Vulnerability Management serio. Non si tratta solo di cliccare su "Aggiorna tutto", ma di analizzare:

  • Quali asset sono esposti a quella specifica CVE?
  • Esistono mitigazioni temporanee se non posso riavviare il server ora?
  • Quanto è probabile che quella falla venga sfruttata nel mio settore specifico?

Questo approccio strategico evita il cosiddetto "burnout da patch", ovvero quella sensazione di rincorrere costantemente aggiornamenti senza mai sentirsi davvero al sicuro.

Il pericolo degli Zero-Day

C'è però un lato oscuro: le vulnerabilità che non hanno ancora un ID CVE. Gli Zero-Day.

Si chiamano così perché il vendor ha "zero giorni" di tempo per risolvere il problema, poiché l'attacco è già in corso o la falla è nota solo agli attaccanti. In questo scenario, il database delle CVEs non serve a nulla, perché l'informazione non è ancora pubblica.

È qui che la difesa deve spostarsi dal semplice aggiornamento software al behavioral analysis e all'implementazione di sistemi EDR/XDR. Se non puoi prevenire la falla (perché non sai che esiste), devi essere in grado di accorgerti che qualcuno la sta usando per muoversi lateralmente nella tua rete.

Strumenti per navigare nel mare delle vulnerabilità

Leggere i report della MITRE o del NIST può essere estenuante. Per questo esistono strumenti di analisi e calcolatori che aiutano a tradurre i dati tecnici in decisioni aziendali.

Usare un calcolatore CVSS permette di ricalcolare il punteggio in base all'ambiente reale (Environmental Score). Se hai implementato dei firewall che bloccano l'accesso alla porta vulnerabile, quel 9.0 può scendere drasticamente, permettendoti di dare priorità ad altre emergenze.

La sicurezza non è un prodotto che si compra, ma un processo costante. Le CVEs sono la mappa; il modo in cui decidi di percorrerla determina se i tuoi dati rimarranno al sicuro o diventeranno merce di scambio nel dark web.

Non aspettare l'alert del tuo antivirus per controllare le ultime pubblicazioni. La proattività è l'unica vera difesa efficace oggi.