CVSS v3 valuta l'impatto della vulnerabilità sull'host?

4

Recentemente dopo aver controllato la vulnerabilità Heartbleed stavo prendendo un guarda il suo punteggio CVSS (AV: N / AC: L / Au: N / C: P / I: N / A: N) e notato quanto segue (parziale ) addendum:

CVSS V2 scoring evaluates the impact of the vulnerability on the host where the vulnerability is located. When evaluating the impact of this vulnerability to your organization, take into account the nature of the data that is being protected and act according to your organization’s risk acceptance.

Dopo aver dato un'occhiata al documento di specifica CVSS v3 non sono riuscito a trovare una parte di testo che ha spiegato se il sistema di punteggio valuta l'impatto in modo simile al suo predecessore. In tal caso, CVSS v3 valuta ancora una vulnerabilità in base all'impatto che ha sull'host?

Il motivo per cui lo chiedo è perché Heartbleed sembra essere valutato in modo molto più basso di quello che merita per essere valutato ( relevant ) e si chiedeva se ciò si ripresentasse in una vulnerabilità futura utilizzando CVSS v3.

    
posta Juxhin 27.01.2016 - 12:09
fonte

2 risposte

3

Sì, lo fa. Un punteggio base CVSS 3 viene calcolato utilizzando otto fattori:

  • L'impatto è determinato da: ambito, riservatezza, integrità e disponibilità.
  • La verosimiglianza è determinata da: vettore di attacco, complessità di attacco, privilegi richiesti e interazione dell'utente.

Un buon posto per conoscere questi aspetti è il calcolatore online .

Il problema con CVSS e Heartbleed è che non tiene conto delle vulnerabilità concatenate . La vera preoccupazione è che un utente malintenzionato utilizzi Heartbleed contro il server VPN, rubi credenziali, utilizzi le credenziali per connettersi, quindi crei scompiglio nella rete. Usando CVSS consideri solo il primo bit, quindi non c'è alcun impatto sulla riservatezza e integrità. E con CVSS 2 l'impatto della riservatezza è "parziale" e non "completo".

CVSS 3 funziona un po 'meglio; Segnare Heartbleed come 8.6 . Le valutazioni di impatto sono ora basso / alto anziché parziale / completo. Heartbleed è certamente un alto impatto sulla riservatezza, anche se non è completo. Introducono anche il fattore "ambito" piuttosto oscuro. Heartbleed ha cambiato ambito, dal momento che stai accedendo alla memoria al di fuori dell'ambito previsto di una connessione SSL. Tuttavia, CVSS 3 non tiene conto delle vulnerabilità concatenate.

Ci sono anche punteggi temporali e ambientali CVSS che aggiungono ulteriori fattori. L'idea è che ti aiutano a misurare cose come "questa scatola particolare è un grande rischio in questo momento". Tuttavia, ho trovato che i punteggi temporali e ambientali sono usati raramente e non particolarmente utili.

    
risposta data 27.01.2016 - 12:35
fonte
0

No, non lo è. CVSS v3 valuta ancora l'impatto, ma relativo al componente interessato e non necessariamente all'host.

Considera il caso in cui hai completamente hackerato un'applicazione web, dove ottieni i diritti amministrativi e puoi leggere e manipolare tutti i dati. Ciò avrebbe un impatto grave sull'applicazione (ad esempio il componente), ma un impatto ridotto sull'host o sul sistema operativo. In CVSS 2 l'impatto è stato valutato rispetto all'host, ma in CVSS 3 è valutato rispetto al componente interessato.

CVSS v2.0 presented difficulties for vendors when scoring vulnerabilities that would fully compromise their software, but only partially affect the host operating system. In v2.0 vulnerabilities are scored relative to the host operating system, which led one application vendor to adopt a "Partial+" impact metric convention. CVSS v3.0 addresses this issue with updates to where the impact metrics are scored and a new metric called Scope (discussed further below).

When scoring vulnerabilities in CVSS v3.0, the Exploitability metrics are scored relative to the vulnerable component. That is, they are scored by considering the component that suffers the coding flaw. On the other hand, the Impact metrics are scored relative to the impacted component.

Source

Heartbleed è uno degli esempi CVSS , quindi questa è una fonte piuttosto autorevole sul punteggio CVSS corretto di Heartbleed.

    
risposta data 06.06.2017 - 16:44
fonte

Leggi altre domande sui tag