Blog HackRTU

‹ Regresar

LOS CVE, UN ELEMENTO CLAVE EN LA GESTIÓN DE VULNERABILIDADES

 

CNA

 

 

Un CVE o Common Vulnerabilities and Exposure es un identificador único y estandarizado que se asigna a una vulnerabilidad conocida públicamente en un sistema, software o dispositivo.

Su objetivo es establecer un lenguaje común y universal para identificar vulnerabilidades de forma precisa, facilitando la comunicación a las partes interesadas como pueden ser los propios investigadores, los fabricantes, los CNA (CVE Numbering Authority), los CSIRT (Computer Security Incident Response Team), los PSIRTS (Product Security Incident Response Team) o cualquier persona interesada en conocer los CVE que afecten a sus dispositivos o sistemas.

 

¿QUIÉN GESTIONA LOS IDENTIFIADORES DE CVE?

Cabe destacar que la NVD (National Vulnerability Database) es la base de datos nacional estadounidense donde se almacenan los CVE. A todas las vulnerabilidades de la NVD se les ha asignado un identificador CVE.

La Base de Datos Nacional de Vulnerabilidades (NVD) está gestionada por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), que forma parte del Departamento de Comercio de EE.UU. Por otro lado, el actor autorizado para gestionar las vulnerabilidades en el Programa CVE es MITRE (como operador raíz de la CVE Numbering Authority o CNA). MITRE es el coordinador central, pero la creación de CVE está descentralizada a través del ecosistema CNA.

 

EUVD, SIMILITUDES Y DIFERENCIAS CON LOS CVE

Desde el 13 de mayo de 2025, la European Commission publicó la Base de Datos Europea de Vulnerabilidades (EUVD) por parte de la European Union Agency for Cybersecurity (ENISA) para impulsar la seguridad digital en base también a las necesidades impuestas por la NIS2 o también llamada directiva sobre la Seguridad de las Redes y Sistemas de Información.

El EUVD es otro identificador único como el CVE, utilizado para la coordinación e identificación de las vulnerabilidades. Aunque la ENISA es el actor encargado de la gestión de las vulnerabilidades con identificador EUVD, esta coordinación esta complementada con los CSIRTs nacionales, la European Commission (The Directorate-General for Communications Networks, Content and Technology, también llamado DG CONNECT), los fabricantes y los investigadores autorizados.

Cabe destacar que actualmente, la base de datos de la NVD con los diferentes identificadores CVE que la componen es mucho más completa y se considera la base de vulnerabilidades por antonomasia. La ENISA quiere potenciar los EUVD, pero todavía no tiene la madurez que tienen los CVE y no existen todos los identificadores de CVE en formato EUVD lo cual puede llegar a generar desconcierto, aunque su objetivo es ser la base de referencia a nivel de vulnerabilidades en Europa. A diferencia de los CVE, los identificadores EUVD están introduciendo conceptos nuevos como el EPSS (Exploit Prediction Scoring System) dentro de los datos proporcionados por el identificador o correlaciones con los SBOM (Software Bill of Materials).

Además, en cuanto a actualizaciones y nuevos conceptos, la CISA (Cybersecurity and Infrastructure Security Agency) ha creado un repositorio para enriquecer los atributos de los identificadores de CVE. Este repositorio es un poryecto en el que CISA publicó el enrequecimiento de los registros públicos de CVE a través del contenedor ADP (Authorized Data Publisher). Permite a los diferentes usuarios tener la capacidad de evaluar CVEs y añadir características clave como el SSVC (Stakeholder-Specific Vulnerability Categorization) u otros parámetros como el KEV (Known Exploited Vulnerabilities).

En la siguiente tabla, se pueden apreciar no solo las diferencias existentes entre los identificadores CVE y EUVD, sino también entre las diferentes bases de datos y afectaciones a niveles regulatorios de cada uno.

 

ESTRUCTURA DEL IDENTIFICADOR CVE

Cada CVE tiene un formato estructurado, simple, pero que contiene toda la información necesaria para saber en términos generales la afectación de la vulnerabilidad, su impacto y normalmente unas mitigaciones básicas. A modo de ejemplo se utilizará la vulnerabilidad CVE-2025-41360 descubierta por uno de nuestros investigadores para explicar la estructura de los CVE.

• Formato: CVE-YYYY-NNNNN – CVE-2025-41360
  • CVE: prefijo común en todas las vulnerabilidades.
  • YYYY-2025: año en que se asigna o divulga. Este valor puede variar en muchos casos ya que el proceso de reporte es lento en cuanto a vulnerabilidades del mundo industrial se refiere por lo que muchas veces pueden pasar meses e incluso varios años hasta que se publica. En el caso del CVE-2025-41360, este fue descubierto a finales del año 2021 y se le asignó un identificador diferente al de su publicación final. En este caso, esto se debió a la diferencia de años entre el reporte y la publicación, por lo cual, el CNA responsable, INCIBE-CERT en este caso, decidió actualizar el valor del identificador.
  • NNNNN-41360: número secuencial.

 

COMPONENTES QUE ACOMPAÑAN A UN CVE

Aunque el identificador CVE en sí, es sólo una cadena, su publicación incluye varios atributos clave que permiten evaluarlo en profundidad y catalogar su criticidad. Estos atributos son publicados por todos los CNA o entidades encargadas de realizar la divulgación de los CVE.

• Descripción técnica: Un resumen técnico claro del problema de seguridad que implica una vulnerabilidad, incluyendo el contexto, el impacto, y las condiciones necesarias para su explotación en términos generales sin proporcionar el método exacto y teniendo especial cuidado en los casos en los que la vulnerabilidad no haya sido resuelta completamente por el fabricante y solo haya podido mitigarse parcialmente. Así mismo, en esta sección, se suele incluir siempre la versión y modelo exacto del sistema, software o dispositivo afectado, si no se incluye, se suele crear una sección independiente dada la relevancia de la información.
  • CVE-2025-41360: “Vulnerabilidad de consumo incontrolado de recursos en IDF v0.10.0-0C03-03 y ZLF v0.10.0-0C03-04 del fabricante ZIV. El dispositivo es vulnerable a un ataque de denegación de servicio por inundación de paquetes.”
• CVSS (Common Vulnerability Scoring System): El CVSS proporciona una puntuación cuantitativa del nivel de severidad de la vulnerabilidad. Se basa en métricas como vector de ataque, complejidad, privilegios requeridos, impacto en confidencialidad, integridad y disponibilidad. Desde la última versión, la versión CVSS 4.0, existen una mayor cantidad de condiciones de entorno que permiten evaluar la vulnerabilidad de una forma más avanzada y, por lo tanto, tener un valor de riesgo más exacto. Actualmente existen calculadoras específicas para entornos OT y que en el post sobre CVSS veremos específicamente.
  • CVE-2025-41360 (CVSS v4): CVSS:4.0AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N - 8,7 (Alta) 
• CWE (Common Weakness Evaluation): Los CWE en un CVE identifican la debilidad de software o hardware que permitió que la vulnerabilidad fuera explotada. Existe un listado distribuido por MITRE-CWE.
  • CVE-2025-41360: “CWE-400: Uncontrolled Resource Consumption”
• Impacto: Detalla el resultado de la explotación de la vulnerabilidad sobre el sistema, software o dispositivo vulnerable.
  • CVE-2025-41360: “Denegación de las capacidades de funcionamiento del dispositivo debido a una Denegación de Servicio”
• Referencias, mitigaciones o soluciones: Enlaces a informes de seguridad, avisos del proveedor, publicaciones de investigación o herramientas que explican o corrigen la vulnerabilidad.
  • CVE-2025-41360: “Las vulnerabilidades han sido solucionadas por ZIV en la versión de firmware 1.1.0. Más información disponible en ZIV - Web del fabricante y en HackRTU - Artículo de blog”
• Créditos: Proporcionan a la comunidad y a los investigadores, el reconocimiento por haber detectado un fallo de seguridad en el sistema, software o dispositivo y ayudar a los fabricantes a mejorar sus productos de forma ética y responsable.
  • CVE-2025-41360: “INCIBE ha coordinado la publicación de 8 vulnerabilidades: 2 de severidad alta y 6 de severidad media, que afectan a las protecciones IDF y ZLF de ZIV. Las vulnerabilidades han sido descubiertas por Aarón Flecha Menéndez de HackRTU y Gabriel Vía Echezarreta”

Por otra parte, aunque no son estrictamente necesarios, en múltiples ocasiones se incluyen también los siguientes atributos o estándares para proporcionar más información sobre el CVE.

• CPE Common Platform Enumeration): El CPE identifica de forma precisa el producto afectado (fabricante, producto, versión, etc.). Esto permite tanto a usuarios como a herramientas automatizadas correlacionar vulnerabilidades con un listado de activos.
  • CVE-2025-41360: CPE:2.3:o:zivautomation:idf0.10.0-0C08:1.1.0:*:*:*:*:*:*:*

Y en el caso de los EUVD, la ENISA, está proporcionando también el siguiente concepto técnico:

• EPSS (Exploit Prediction Scoring System). Es un sistema de puntuación que predice la probabilidad de que una vulnerabilidad sea explotada. A diferencia del CVSS, el EPSS mide la probabilidad práctica de explotación.

Todos estos conceptos técnicos que acompañan al CVE hacen que los identificadores CVE sean más que un identificador, sino que se conviertan en un activo clave para la gestión de las vulnerabilidades y la gestión del riesgo de las empresas industriales.

En posteriores posts, se explicarán de forma técnica y práctica todos los términos que acompañan a los identificadores CVE basándose en vulnerabilidades reportadas por nuestro equipo y ya publicadas.

 

EQUIPO DE HACKRTU