Suche
preisvergleich_weiss

Recherche in 2.523.460 Produkten

Luis Alberto Benthin Sanguino, Martin März 4

CVE-Einträge ohne CPE

Sicherheitslücken können Cyberangriffe ermöglichen. Deswegen müssen Sicherheitsverantwortliche ständig nach Verwundbarkeiten bei der installierten Software suchen. Was sind die Herausforderungen einer solchen Verwundbarkeitsanalyse?

Die CVE-Feeds enthalten 2864 CVEs ohne CPE-ID. Beispielsweise hat der CVE-Eintrag CVE-2018-0149 (eine XSS-Schwachstelle in der Web-Management-Schnittstelle eines Cisco-Produkts) bis zum Zeitpunkt der Evaluierung keine CPE-ID bekommen. In Abbildung 3 wurde eine Verwundbarkeitsanalyse skizziert, in der die Suche von CVEs für eine Software auf der zugewiesenen CPE-ID des Produkts basiert. Ohne Berücksichtigung der Tatsache, dass CVEs ohne CPE existieren, könnte so eine Analyse fehlerhafte Resultate liefern, da in vielen Fällen keine Beziehung zwischen einer CVE- und der CPE-ID einer Software möglich ist.

Veraltete Einträge in der CPE-Dictionary

CPE-Einträge können aus drei Gründen veraltet sein:

  1. Die CPE-ID hat einen Tippfehler oder stimmt nicht.
  2. Die CPE wird nicht länger benutzt und muss entfernt werden.
  3. Neue Informationen zu einem IT-Produkt sind hinzuzufügen.

Die veralteten CPEs werden mit dem XML-Element cpe-23:deprecation gekennzeichnet. Es enthält ein Kind-Element (cpe-23:deprecated-by), das gegebenenfalls zeigt, durch welche CPE die veraltete CPE ersetzt wurde. Außerdem wird der Grund der "Deprecation" anhand des Attributs "name" angegeben.

Zum Zeitpunkt der Evaluierung gab es 2939 veraltete CPEs. Alle waren wegen der Namenskorrektur veraltet. Das nachfolgende Bild zeigt einen veralteten CPE-Eintrag aus der CPE-Dictionary. Diese CPE ist veraltet, da der Name des Produkts falsch geschrieben wurde: "morbtay" statt "mortbay".

Beispiel eines veralteten CPE-Eintrags (Abb. 4)
Beispiel eines veralteten CPE-Eintrags (Abb. 4)

Die Tatsache, dass eine beträchtliche Menge von CPEs wegen Namenskorrektur "veraltet" sind, deutet darauf hin, dass sich während einer Verwundbarkeitsanalyse eine inkorrekte CPE-ID zu einer Software zuweisen ließe. Wie Abbildung 5 zeigt, gibt es einen Zeitraum, in dem die Zuordnung einer falschen CPE zu einer Software stattfinden kann. Wenn das nicht berücksichtigt wird, könnte die CVE-Suche einer VA falsche Ergebnisse liefern, da sie auf der zugewiesenen CPE-ID basiert.

Zeitfenster, in dem ein falscher CPE-Eintrag in der CPE-Dictionary sein könnte (Abb. 5)
Zeitfenster, in dem ein falscher CPE-Eintrag in der CPE-Dictionary sein könnte (Abb. 5)

Synchronisation zwischen der CPE-Dictionary und den CVE-Feeds

Zum Zeitpunkt der Evaluierung gab es in den CVE-Feeds 130.036 CPE-IDs, die nicht in der CPE-Dictionary waren. Die Autoren haben folgende Gründe dafür festgestellt:

CPE-ID in der CPE-Dictionary: cpe:/a:digium:asterisk:1.2.0:beta2
CPE-ID in der CVE-Feeds: cpe:/a:digium:asterisk:1.2.0_beta2

Die beschriebenen Punkte zeigen, dass keine Synchronisierung zwischen der CPE-Dictionary und den CVE-Feeds besteht, obwohl dieselbe Organisation beide Datenbanken betreibt. Für die Implementierung einer Verwundbarkeitsanalyse (wie in Abb. 3 skizziert) ist dieser Aspekt in Betracht zu ziehen, da die Ergebnisse stark vom Zusammenhang zwischen beiden Datenbanken abhängen.

4 Kommentare