punteggio di impatto CVSS3.0 e punteggio di sfruttabilità

1

Ho qualche problema nel calcolare i punteggi CVSS v3.0 in alcuni risultati che ho riscontrato.

In particolare, una scoperta è una semplice divulgazione di informazioni sul server tramite pagine di errore predefinite. È molto simile al seguente: link

Utilizzando la calcolatrice CVSS v3.0, sono arrivato allo stesso vettore CVSS (AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N) e punteggio (5.3, Media).

Intuitivamente, questo risultato non dovrebbe essere un mezzo in quanto gli aggressori non possono davvero fare molto attraverso la divulgazione di banner. Penserei che dovrebbe essere un basso o addirittura informativo. La calcolatrice IMHO, CVSS v3.0 non fornisce una granularità sufficiente nei componenti di impatto C / I / A per tenere adeguatamente conto di ciò.

Tuttavia, ho notato nel link sopra che c'è anche un "punteggio di impatto" e un "punteggio di sfruttabilità", che sono adeguatamente bassi in entrambi i casi. Non si fa tuttavia menzione di come questi sono derivati, non nel collegamento, o il calcolatore CVSS su first.org. Anche una rapida ricerca su Google non produce nulla.

Posso sapere come vengono calcolati e possono essere utilizzati per modificare le valutazioni del rischio?

    
posta user1118764 25.09.2018 - 08:46
fonte

2 risposte

1

Il calcolatore CVSS su NVD ha un pulsante "Mostra equazioni" che, come faresti tu aspettati, mostra le equazioni per i vari valori incluso l'impatto e la sfruttabilità.

Il problema con il punteggio di base in questo caso è che quando si ha a che fare con una perdita di riservatezza l'equazione non tiene conto della sensibilità dei dati che vengono divulgati. Sono le password salate e hash? Passaporti unhashed? O l'implementazione specifica di un server web? Importa nella valutazione del rischio, ma non viene preso in considerazione dal punteggio.

Quindi, ora dipende dal motivo per cui stai calcolando il punteggio, stai ricevendo un CVE? stai provando ad accedere al rischio? O qualcos'altro? Se stai tentando di accedere al rischio, utilizza il punteggio di base come guida e modifica come ritieni appropriato.

Per essere onesto, non vedo questa vulnerabilità come le informazioni del banner in sé e per sé non possono essere utilizzate direttamente per attaccare il software, anche se può essere usato per trovare più facilmente gli attacchi. Usiamo Nessus per analizzare i nostri prodotti per problemi e Nessus segnala che i banner sono disponibili come "informativi" per lo stesso motivo.

    
risposta data 26.09.2018 - 15:46
fonte
0

Secondo il sito NIST di NVD, sembra che lo stanno rivalutando. Sto guardando un altro sito, i dettagli CVE, e sembra che gli abbiano dato un punteggio

Secondo il link il punteggio di circa 5 sembra essere nel range della maggior parte delle voci con punteggi di 4-5 e 5-6 acquisendo il 20.40% e il 19.20% delle voci totali. Secondo quel sito, il punteggio medio ponderato CVSS è 6,6 e pertanto 5-5,3 lo renderebbe inferiore alla media in termini di punteggi. Anche un punteggio di 4.0 - 6.9 lo classificherà come Medio (vedi link ). Pertanto, se la vulnerabilità è bassa, dovrebbe raggiungere solo un punteggio compreso tra 0,1 e 3,9.

    
risposta data 25.09.2018 - 22:14
fonte

Leggi altre domande sui tag