CVE編號(hào)獲得易，正式公開(kāi)難!有價(jià)值更難!!

獲得CVE編號(hào)并不等于這個(gè)漏洞是有價(jià)值的，甚至說(shuō)這個(gè)漏洞都不一定是真實(shí)存在的。這主要源于CVE編號(hào)頒發(fā)機(jī)構(gòu)開(kāi)放式的工作模式，后面我們會(huì)詳細(xì)介紹。

那么什么樣的漏洞是有價(jià)值的呢?小編認(rèn)為最起碼要保證原創(chuàng)漏洞的真實(shí)可靠和受影響面的廣泛度。以綠盟連續(xù)五年獲得的微軟MBB獎(jiǎng)勵(lì)計(jì)劃為例，其要求原創(chuàng)漏洞必須滿(mǎn)足如下指標(biāo)，包括：漏洞利用必須可靠，且有合理的請(qǐng)求;提交的技術(shù)、方法必須新穎，適用于Windows體系的利用遠(yuǎn)程代碼執(zhí)行漏洞;必須適用于高風(fēng)險(xiǎn)的應(yīng)用程序，如瀏覽器或文檔閱讀器;必須是通用的，即適用于多個(gè)內(nèi)存崩潰漏洞;漏洞必須來(lái)源于微軟產(chǎn)品的最新版本等。該計(jì)劃按漏洞價(jià)值獎(jiǎng)勵(lì)5千-6萬(wàn)美金不等。在最近的2017年公布的獎(jiǎng)勵(lì)計(jì)劃中，綠盟研究院獲得1萬(wàn)美金。

2017微軟MBB賞金計(jì)劃獲獎(jiǎng)名單

小編腦洞一下，假如有一個(gè)安全研究團(tuán)隊(duì)可以具有8個(gè)月發(fā)現(xiàn)200個(gè)原創(chuàng)CVE漏洞的速度，且是有價(jià)值可公開(kāi)的，那么粗算下獎(jiǎng)金，將獲得約600萬(wàn)人民幣。近8個(gè)月，安全圈里光挖洞，就可以誕生好幾位百萬(wàn)富翁，但是事實(shí)上，并沒(méi)有。為什么?

下面小編就帶你看看一個(gè)CVE漏洞編號(hào)是如何誕生的，聊聊為什么獲得CVE漏洞編號(hào)并不等于漏洞挖掘能力。

一、CVE漏洞編號(hào)是誰(shuí)頒發(fā)的?

CVE開(kāi)始是由MITRE Corporation負(fù)責(zé)日常工作的。但是隨著漏洞數(shù)量的增加，MITRE將漏洞編號(hào)的賦予工作轉(zhuǎn)移到了其CNA(CVE Numbering Authorities)成員。CNA涵蓋5類(lèi)成員。目前共有69家成員單位。

1.MITRE：可為所有漏洞賦予CVE編號(hào);

2.軟件或設(shè)備廠商：如Apple、Check Point、ZTE為所報(bào)告的他們自身的漏洞分配CVE ID。該類(lèi)成員目前占總數(shù)的80%以上。

3.研究機(jī)構(gòu)：如Airbus，可以為第三方產(chǎn)品漏洞分配編號(hào);

4.漏洞獎(jiǎng)金項(xiàng)目：如HackerOne，為其覆蓋的漏洞賦予CVE編號(hào);

5.國(guó)家級(jí)或行業(yè)級(jí)CERT：如ICS-CERT、CERT/CC，與其漏洞協(xié)調(diào)角色相關(guān)的漏洞。

二、如何獲得CVE編號(hào)

步驟1：預(yù)定CVE漏洞編號(hào)

(1) 填申請(qǐng)表申請(qǐng)CVE編號(hào)

申請(qǐng)表中會(huì)要求填寫(xiě)漏洞類(lèi)型、產(chǎn)品廠商、受影響產(chǎn)品或代碼及版本、廠商是否已確認(rèn)該漏洞、攻擊類(lèi)型、影響類(lèi)型、受影響組件、攻擊方法或利用方法、CVE描述建議等。

其中，CNA成員單位產(chǎn)品相關(guān)的漏洞，必須發(fā)給該CNA成員并向其申請(qǐng)CVE編號(hào)。

(2) MITRE或CNAs成員保留并向提交者分配CVE編號(hào)

提交者會(huì)收到如下郵件。

(3) MITRE在CVE網(wǎng)站創(chuàng)建跟這些CVE編號(hào)有關(guān)的無(wú)內(nèi)容的“空白”頁(yè)面;漏洞狀態(tài)為RESERVED。

也就是說(shuō)，RESERVED(保留)狀態(tài)只是說(shuō)MITRE和CNAs成員收到了這個(gè)漏洞，漏洞質(zhì)量或真實(shí)性是未經(jīng)過(guò)驗(yàn)證的。

那么CVE漏洞是如何驗(yàn)證的，如何確保其是真實(shí)有效的漏洞，下面就是關(guān)鍵的一步。

步驟2：公開(kāi)CVE漏洞進(jìn)行驗(yàn)證

(4) 公開(kāi)漏洞信息

請(qǐng)求者需通過(guò)可靠渠道公開(kāi)披露或與漏洞相關(guān)方分享這些CVE-ID編號(hào)漏洞信息。比如聯(lián)系上面列舉的的CNAs列表中的廠商，他們將在其首次公開(kāi)宣布你的新漏洞時(shí)包含CVE-ID編號(hào)，多數(shù)廠商會(huì)在致謝詞中提及漏洞致謝者的名稱(chēng)，如下所示。

(5) 請(qǐng)求和將公開(kāi)的CVE-ID編號(hào)通知MITRE。

MITRE去掉RESERVED標(biāo)識(shí)，公開(kāi)漏洞詳細(xì)信息，并且reference中會(huì)包含廠商的漏洞公開(kāi)頁(yè)面。也就是說(shuō)只有這個(gè)階段的漏洞才是經(jīng)過(guò)驗(yàn)證為真實(shí)的有效的漏洞。

MITRE的這一措施是為了對(duì)CVE的漏洞質(zhì)量進(jìn)行把控，比如有些提交者提交的漏洞被發(fā)現(xiàn)是虛假的或存在問(wèn)題的

最后，小編告訴大家一個(gè)秘密：只有狀態(tài)已經(jīng)為公開(kāi)的才是有效的漏洞，否則僅僅是預(yù)定了一個(gè)CVE編號(hào)，很大可能毫無(wú)價(jià)值和意義!

【本文是51CTO專(zhuān)欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文