CVE Nedir ve Kullanımı

MITRE firması 1999 yılında CVE adını verdiği bir sistem başlatmıştır. Açılımı Common Vulnerabilities and Exposures olan CVE ürünlerdeki kamuya yansımış açıklıkların numaralandırıldığı bir standarttır. 2005 yılında ABD devleti Ulusal Açıklık Veritabanı’nı (National Vulnerability Database - NVD’yi) başlatmıştır. ABD devletinin başlattığı Ulusal Açıklık Veritabanı MITRE firmasının hizmeti olan CVE veritabanı kayıtlarını xml / json feed’leri ile alır, kullanır ve üzerine ilave bazı ekstra bilgiler ekleyerek ulusal cve veritabanı hizmeti olarak sunar.

MITRE’nin CVE’si ve ABD devleti Ulusal Açıklık Veritabanı (NVD) iki ayrı oluşum olsa da ikisi de ABD devleti Yurt Güvenliği Departmanı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı’nca fonlanmaktadır. MITRE firması CVE sistemini ABD devleti Siber Güvenlik ve Altyapı Güvenliği Ajansı adına yürütmektedir ve ABD devlet ajansı adına çalıştırılmaktadır.

MITRE firması CVE listesini idare eder. CVE girdileri özettirler. Teknik detaylar, riskler, etkiler, ve yamalar hakkında bilgi içermezler. Bu gibi bilgiler farklı veritabanlarında bulunabilir. Örneğin; MITRE’nin kayıtlarını kullanan, ek bilgiler ilave etmiş ABD devleti Ulusal Açıklık Veritabanı’nda (NVD’de) olduğu gibi.

Bir güvenlik açığının CVE girdisi haline girmesi sıklıkla organizasyonlar veya açık kaynak topluluklarının üyeleri tarafından açıklığın MITRE’ye gönderilmesiyle gerçekleşir. Bazen de MITRE firması doğrudan cve girdisi oluşturur.

CVE girdilerini yazanlar CVE Numaralandırma Otoriteleri tarafından atanırlar. Yaklaşık 100 kadar CVE Numaralandırma Otoritesi vardır. Bunlar arasında IBM, Cisco, Oracle, RedHat, Microsoft,..., çeşitli güvenlik şirketleri ve araştırma organizasyonları vardır. MITRE bu girdi yazan otoritelerin yanında ayrıca doğrudan CVE girdi yazımında bulunabilmektedir.

Aşağıda MITRE’nin veritabanını kullanarak CVE veritabanı hizmeti sunan çeşitli web siteleri verilmiştir.

// MITRE Firmasının Sunduğu CVE Veritabanı
https://cve.mitre.org/ (mevcut)
https://www.cve.org/ (yenisi)

// MITRE Firmasının Kayıtlarını Kullanan ABD
// Ulusal Açıklık Veritabanı’nın (NVD’nin) CVE
// Veritabanı
https://nvd.nist.gov/

// MITRE Firmasının Kayıtlarını Kullanan RedHat
// Firmasının Sunduğu CVE Veritabanı
https://access.redhat.com/security/security-updates/#/cve

// ABD Ulusal Açıklık Veritabanı (NVD) Kayıtlarını
// Kullanan (Dolaylı Yoldan MITRE Firmasının Ka-
// yıtlarını Kullanmış Olan) CVEDetails Web Sitesi-
// nin Sunduğu CVE Veritabanı
https://www.cvedetails.com/

Bu siteler MITRE firmasının CVE kayıtlarını xml ve json feed’leri ile alarak ve bazısı çeşitli ekstra eklemelerde bulunarak kullanmaktadırlar. Bu şekilde MITRE’nin sunduğu cve veritabanını web sayfalarında sunmaktadırlar.

CVE Nasıl Kullanılır?

CVE girdileri bir CVE ID’ye, özet bir tanımlamaya ve referans linklerine sahiptirler. Aşağıda MITRE firmasının cve sitesindeki (https://www.cve.org/) bir cve girdisi şablonu gösterilmiştir.

MITRE’nin bu CVE sayfa şablonunda yer alan bölümler şu şekildedir:

i) CVE ID

CVE ID bölümü ürünlerde çıkan açıklıklara verilen kimlik numarasını sunar. Kimlik numaraları CVE-YEAR-NUMBER şeklinde standardize bir numaralandırma ile sunulur.

ii) Description

Tanımlama bölümü numaralandırılan ilgili ürün açıklığının özet bir bilgisini sunar.

Özet Bilgi Hakkında Yol Haritası

Yukarıdaki resimde gösterilen örnek CVE-2011-1473 id’li açıklığın özet bilgisinde OpenSSL’in 0.9.8l ve öncesi, ve ayrıca 0.9.8m’den 1.x’e kadarki sürümlerinde SSL/TLS’teki renegotiation’ın uygun kısıtlanmadığı bildirilmiş ve bu durumun saldırganlara CPU tüketimi ile servis dışı bırakma saldırıları yapabilmelerine imkan tanıdığı söylenmiş. Bu özet bilgiden yola çıkarak belirtilen açıklığı sömürme uygulamasını açıklığın tanımlamasında belirtilen uygulama ve sürümlerinde tatbik edebileceğimizi anlayabilir ve belirtilen uygulama ve sürümlerinde ne tür bir saldırı yapılabilir olduğunu (yani vektör türünü) görebiliriz. Buradan hareketle farklı web sitelerinde açıklığın sömürülmesi üzerine ve tool üzerine araştırma yapılabilir (örn; cve referanslar son bölümündeki linkler incelenebilir) ve sanal bir vm’de cve tanımlamasında söylenen uygulamanın (örn; bu açıklık özelinde openssl’in) açıklıklı sürümü kurularak bulunan bir tool’la bu açıklığı sömürme uygulaması yapılabilir.

Not: Bu resimde gösterilen CVE-2011-1473 id’li açıklığı SSL/TLS Renegotation açıklığı olarak ifade edilir ve OpenSSL zafiyeti üzerinden DoS saldırısı yapmayı sağlar. Bu CVE açıklığı hakkında açıklamalar, açıklığın nasıl sömürüldüğü bilgileri ve tool ile açıklığı sömürme uygulaması için bkz. Paketleme İçin Gözden Geçirilecekler / SSL,TLS DoS Saldırısı ile Apache Web Sunucuları Servis Dışı Bırakma.docx

Tanımlama bölümü özet bilgisinden önce ** DISPUTED ** veya ** RESERVED ** şeklinde etiketler yer alabilir. Özet bölümünün başında DISPUTED (Tartışmalı) etiketinin yer alması ilgili ürün satıcısı veya ilgili ürün otoritesinin açıklığın geçerliliğine itiraz ettiği anlamına gelir. Bu itiraz durumu olduğunda ilgili CVE girdisi, özet bilgisinin en başına ** DISPUTED ** eklenmek suretiyle etiketlenir (bkz. Yukarıdaki resimdeki cve açıklığı gibi). Özet bölümünün başında RESERVED (Rezerve Edildi) etiketi yer alması ise ilgili açıklığın nihai halde paylaşımı için daha fazla detaya ihtiyaç olduğu anlamına gelir. Eğer açıklık eksiklikler nedeniyle yayınlamak üzere uygun değil şeklinde kesinleşirse REJECTED yapılır.

iii) Referans

Referans bölümü ise ilgili ürün açıklığı hakkında tavsiyeler, güvenlik çözümleri, ve tool’lar hakkında bilgiler paylaşan web site url adresleri sunar.

Ekstra

MITRE’nin cve veritabanını sunan çeşitli web sitelerinden bazıları cve girdilerindeki cve id’si, özet bilgisi ve referans linklerine ek olarak ekstra bilgiler ilave edebilmektedirler. Örneğin ABD devleti Ulusal Açıklık Veritabanı (NVD)’nin nvd.nist.gov web sitesi ve farklı bir oluşum olan cvedetails.com web sitesi gibi:

a) nvd.nist.gov

ABD devleti Ulusal Açıklık Veritabanı resmi web sayfası (https://nvd.nist.gov/), MITRE’den çekilen cve girdilerine ait id, özet ve referans şeklindeki üç bilgi unsuruna CVSS skorunu, CWE kodunu, CVE ID açıklığından etkilenen ürün ismini ve sürümlerini ilave etmektedir.

CVSS Skoru Nedir?

CVSS (Common Vulnerability Scoring System) skoru açıklıkların bir formülle 0.0 ile 10.0 arası aralıkta değerlendirildiği bir puanlama sistemidir. Çok sayıda parametrenin (atak karmaşıklık seviyesi, yetki gerekli mi, gizliliği ne seviyede etkiliyor, bütünlüğü ne seviyede etkiliyor, erişilebilirliği ne seviyede etkiliyor, açıklığı kapama seviyesi… v.b.) değerlendirmeye katılmasıyla skorlama yapılır. İlgili kullanılan formülü görmek veya değerlendirme hesaplaması için cvss v3 calculator kullanılabilir.

Aşağıdaki resimde ABD devleti Ulusal Açıklık Veritabanı resmi web sayfasından bir cve açıklık sayfası örneği paylaşılmıştır.

Not: Bu resimde gösterilen CVE-2011-1473 id’li örnek açıklık SSL/TLS Renegotation açıklığı olarak ifade edilir ve OpenSSL zafiyeti üzerinden DoS saldırısı yapmayı sağlar. Bu CVE açıklığı hakkında açıklamalar, açıklığın nasıl sömürüldüğü bilgileri ve tool ile açıklığı sömürme uygulaması için bkz. Paketleme İçin Gözden Geçirilecekler / SSL,TLS DoS Saldırısı ile Apache Web Sunucuları Servis Dışı Bırakma.docx

Görüldüğü gibi MITRE’nin cve kayıtlarındaki cve id’si, özet bilgisi, referans bilgisi şeklinde olan üç unsuruna NVD’de ilave unsurlar eklemesi yapılmıştır.

b) www.cvedetails.com

www.cvedetails.com web sitesi ise yine cve kayıtları sunar. Anasayfasındaki ifadelere göre ABD devleti Ulusal Açıklık Veritabanı resmi web sitesinin (https://nvd.nist.gov/’in) sunduğu xml feed’lerini alarak cve girdilerini edinir. Daha doğru bir ifadeyle Amerikan Ulusal Açıklık Veritabanı (NVD) kayıtları MITRE’den aldığından dolayı Cvedetails web sitesi dolaylı yoldan MITRE’den cve kayıtlarını edinir. Bu edindiği cve girdilerindeki id, özet ve referans şeklindeki üç bilgi unsuruna CVSS (Common Vulnerability Scoring System) skorunu, açıklık türü hakkında ek bilgileri, OVAL adı verilen bazı tanımlamaları, CVE ID açıklığından etkilenen ürünleri, CVE ID açıklığından etkilenen ürünlerin sürümlerini, ve CVE ID açıklığı için Metasploit Modülü var mı yok mu bilgisini ilave etmektedir. Cvedetails web sitsi adının da belirttiği gibi cve’yi detaylı (yani donatılmış ek bilgilerle) sunmaktadır.

Aşağıdaki resimde Cvedetails web sayfasından bir cve açıklık sayfası örneği paylaşılmıştır.

Not: Bu resimde gösterilen CVE-2011-1473 id’li örnek açıklık SSL/TLS Renegotation açıklığı olarak ifade edilir ve OpenSSL zafiyeti üzerinden DoS saldırısı yapmayı sağlar. CVE ID açıklığında metasploit modülü var mı bölümünde metasploit modülü olmadığı ifade edilmektedir. Metasploit modülü yoktur, fakat bu saldırı thc-ssl-dos adında bir hacker grubunun geliştirdiği araçla yapılabilmektedir. Sonuç olarak bu metasploit bölümünden tool araştırmasına gidilebilir.

Görüldüğü gibi MITRE’nin cve girdilerindeki cve id’si, özet bilgisi, referans bilgisi şeklinde olan üç unsuruna Cvedetails’de ilave unsurlar eklemesi yapılmıştır.

Ekstra 2

Siber güvenlikçi olarak bir üründe açıklık bulduğumuzda ve CVE olarak yayınlanmadığını fark ettiğimizde bu açıklık için MITRE firmasına CVE ID oluşması adına talepte bulunabiliriz.

Talep Formu:

https://cveform.mitre.org/

Çıktı:

Cve veritabanında bulunmayan kendi bulduğumuz bir açıklık için bir CVE ID bu yolla oluşturabiliriz. Açık kaynak topluluklar ve organizasyonlar bu yolla kendi buldukları açıklıklarını MITRE firmasına başvuru formu üzerinden bildirmektedirler ve MITRE firması da açıklığı geçerli bulursa cve veritabanına kaydetmektedir. CVE kaydı oluşmuş bu açıklığı MITRE firmasının cve kayıtlarını kullanan diğer tüm cve veritabanı web siteleri de MITRE’den feed’leri otomatize ve senkronize bir şekilde aldıklarından dolayı aynı anda web sitelerinde sunmaktadırlar.

Yararlanılan Kaynaklar

https://www.redhat.com/en/topics/security/what-is-cve#:~:text=Security%20Data%20API%3F-,Overview,at%20least%20one%20CVE%20ID.
https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
https://cve.mitre.org/about/cve_and_nvd_relationship.html
https://nvd.nist.gov/general/cve-process
https://nvd.nist.gov/vuln/vulnerability-detail-pages
https://cveform.mitre.org/
https://www.cvedetails.com/
https://access.redhat.com/security/security-updates/#/cve
https://cve.mitre.org/
https://www.cve.org/

Bu yazı 18.08.2024 tarihinde, saat 19:19:55'de yazılmıştır. 18.08.2024 tarihi ve 16:45:53 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 24

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Crypto 101 - Notlarım
	->	Vulnerability Scanner'ların Çalışma Mantığı
	->	Stagefright Virüsü Nedir
	->	Sosyal Mühendislik Saldırı Türleri
	->	Sisteminizi Shell'lerden Korumanın Yöntemleri

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ▼ 2024 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (19) • APT Saldırısı Nedir • Bug vs Vulnerability • CAPEC Nedir ve Kullanımı • CTF Nedir • CVE Nedir ve Kullanımı • CWE vs CVE • Character Set, Character Encoding ve Character Reference Nedir • Exploit Arama Yöntemi • Framework Nedir • Mirai Zararlısı Nedir • Paypal ve Güvenlik • RAT Nedir • Ransomware Nedir • Bir Siteye Shell Atmanın 20 Temel Yöntemi • Sisteminizi Shell'lerden Korumanın Yöntemleri • Sosyal Mühendislik Saldırı Türleri • Stagefright Virüsü Nedir • Vulnerability Scanner'ların Çalışma Mantığı • Crypto 101 - Notlarım

#Giriş

	ID	:
	Şifre	: