Ir ao contido

Que é un CVE?

CVE significa "Common Vulnerabilities and Exposures". É un sistema de identificación pública para vulnerabilidades de seguridade coñecidas. Foi creado para que diferentes ferramentas e bases de datos poidan referirse ás mesmas vulnerabilidades de maneira consistente e estandarizada.

Obxectivo de CVE

  • Identificar de forma única cada vulnerabilidade ou exposición coñecida.
  • Proporcionar un CVE ID estandarizado.
  • Permitir que os fabricantes, investigadores e profesionais de seguridade falen da mesma ameaza co mesmo nome.

Que é un CVE ID?

Un CVE ID é un identificador único que segue o seguinte formato:

CVE-ANO-NÚMERO

Por exemplo: CVE-2011-2523

  • CVE → Prefixo do sistema.
  • 2011 → Ano no que se asignou ou descubriu a vulnerabilidade.
  • 2523 → Número secuencial dentro dese ano.

Referencias oficiais e fontes

Exemplo real: CVE-2011-2523

📝 Descrición

Esta vulnerabilidade afecta ao vsftpd (Very Secure FTP Daemon) na versión 2.3.4.

CVE-2011-2523: A versión 2.3.4 do vsftpd contiña unha porta traseira (backdoor) intencionadamente introducida por un terceiro malicioso no código fonte dispoñible para descarga pública. Ao conectarse cun nome de usuario que contiña ":)", o servidor abría unha shell de raíz no porto TCP 6200.

🧨 Impacto

  • Permite execución remota de código como root.
  • Non require autenticación.
  • Foi un caso notorio porque non foi un bug típico, senón unha inserción maliciosa no código fonte.

🛠 Mitigación

  • Eliminar a versión afectada (2.3.4).
  • Actualizar a unha versión verificada posterior.
  • Verificar a integridade dos paquetes descargados (hash SHA256, firma GPG, etc.).

🔗 Ligazóns útiles

Orixe e mantemento do CVE

O estándar CVE foi proposto e desenvolvido orixinalmente por MITRE Corporation no ano 1999. MITRE continúa a ser a organización responsable de manter e xestionar o sistema CVE, actuando como CVE Numbering Authority (CNA) raíz. Este proxecto está patrocinado pola Agencia de Ciberseguridade e Infraestrutura dos Estados Unidos (CISA), que depende do Departamento de Seguridade Nacional (DHS).

Situción actual (2025)

A día de hoxe, MITRE segue mantendo o sistema CVE, coordinando máis de 400 CNAs a nivel mundial e controlando a asignación e publicación dos identificadores de vulnerabilidade.

Con todo, existen incertezas sobre o futuro inmediato:

  • O financiamento federal de MITRE para operar o programa expirou o 16 de abril de 2025.
  • Isto provocou preocupación na comunidade, xa que sen financiamento, MITRE non pode asignar novos CVEs nin manter o rexistro operativo.
  • A CISA realizou unha extensión temporal de 11 meses que permite que o servizo continúe ata marzo de 2026, pero non hai garantías máis alá dese prazo.

Futuro posible

Ante este contexto, xurdiron varias propostas:

  • A creación dunha CVE Foundation, unha entidade sen ánimo de lucro que xestione o estándar de forma máis neutral e independente do financiamento estatal.
  • O uso de modelos descentralizados, como blockchain ou consorcios interinstitucionais internacionais, para garantir a continuidade e confianza no sistema.
  • A maior implicación doutros actores da industria, como empresas privadas, universidades ou gobernos estranxeiros, que poderían asumir parte da gobernanza.

Conclusións

  • O CVE-2011-2523 é un exemplo claro de como unha vulnerabilidade pode ser identificada, referenciada e mitigada grazas ao sistema CVE. Ao empregar CVE IDs, diferentes organizacións e profesionais poden colaborar, rastrexar e responder rapidamente ás ameazas de seguridade.
  • MITRE segue ao cargo do CVE en 2025 grazas a unha extensión de financiamento temporal.
  • Non hai plans inmediatos para que MITRE abandone o sistema, pero a súa continuidade depende do apoio sostido por parte de CISA ou alternativas estruturais.
  • A comunidade internacional xa está explorando solucións a longo prazo para evitar a dependencia dunha única entidade.