Barusan nemu update-an patch di OS lo?
Atau pas scroll Twitter ada mention “CVE-2023-XXXX”? Jangan cuek.
Itu ibarat ada kabar kos-kosan yang bilang “kmarn ada maling di gang belakang”.
CVE adalah cara para peneliti keamanan bikin “laporan kehilangan” yang bisa dibaca semua orang termasuk lo yang baru belajar cyber security.
Yuk kita bedah.
Apa sih CVE itu?
CVE (Common Vulnerabilities and Exposures) adalah katalog nomor unik untuk setiap celah keamanan yang ketahuan di perangkat lunak atau hardware.
Bukan patch, bukan exploit, tapi sekadar “nama” supaya semua pihak vendor, peneliti, vendor antivirus, bahkan lo ngomongnya sama.
Contoh: CVE-2021-44228 alias Log4Shell, satu nama untuk satu bencana.
Komposisi ID CVE
1. Prefix “CVE-” (tetap, jadi brand-nya)
2. Tahun ketahuan (misalnya 2023)
3. Nomor urut 4-6 digit (2023-12345)
Contoh penuh: CVE-2023-23397 → bug Outlook yang bikin attacker bisa curi creds cuma lewat email.
Siapa yang nge-Curate?
• CVE Numbering Authority (CNA), ada 200+ organisasi: MITRE, Microsoft, Google, bahkan GitHub.
• MITRE jadi ibu kotak amplop: mereka yang kasih nomor kalau CNA lain belum bisa.
• NIST lanjut bikin “buku deskripsi” lengkap di NVD (National Vulnerability Database) plus CVSS score.
Dari Nol ke Nomor: Work Flow Singkat
1. Peneliti lapor celah ke vendor.
2. Vendor & peneliti sepakati 90 hari grace period (kadang).
3. Vendor minta nomor ke CNA.
4. CNA publish CVE entry minimal: deskripsi 1 baris, referensi, affected version.
5. Setelah publik, NVD nambahin detail teknis, CVSS, CPE, sampai exploit-ability metrics.
Beda CVE, CVSS, dan CWE
• CVE: “ada lubang di mana?”
• CVSS: “seberapa gede lubangnya?” (skor 0-10)
• CWE: “jenis lubangnya apa?” (misal: CWE-89 SQL Injection). Satu CVE bisa punya beberapa CWE.
Contoh Kasus Pop Culture
• CVE-2014-0160 (Heartbleed): OpenSSL bocor, kira-kira 17% site di internet ketularan.
• CVE-2020-1472 (Zerologon): Windows Netlogon tanpa password → domain controller langsung KO.
• CVE-2023-34362 (MOVEit): ransomware massal lewat SQLi di managed file transfer.
Gimana Cara Tracking CVE Biar Nggak Ketinggalan?
1. Langganan feed: NVD RSS, GitHub Security Advisories, atau Twitter @CVEnew.
2. CLI tools: `vulnx`, `cve-search`, atau `osv-scanner`.
3. Dashboard gratis: VulnDB Community, CISA KEV (Known Exploited Vulnerabilities).
4. Automation: masukin ke SIEM, bikin rule “kalau ada CVE baru di produk X → Slack notif”.
Praktik di Lapangan (untuk Pemula)
• Buat daftar inventory aplikasi & versi di VPS lo.
• Cek tiap minggu: “ada CVE gak di stack gue?”
• Prioritas patching: CVSS ≥ 9.0 + ada exploit POC → patch duluan.
• Kalau ga bisa patch, cari mitigasi sementara (WAF rules, disable feature).
• Catat di logbook buat laporan ke klien atau bos kampus.
Bug itu seperti rayap, diam-diam makan pondasi.
Dengan kenal CVE, lo udah punya peta lokasi mereka.
Tapi peta doang ga cukup; lo harus berani benerin atap sebelum hujan.
Ingat, nge-patch itu nggak memalukan, yang malu itu baru tahu setelah data 1 juta user dijual gelap.