¿CVSS v3 evalúa el impacto de la vulnerabilidad en el host?

4

Recientemente, después de ver la vulnerabilidad Heartbleed estaba tomando una mire su puntaje CVSS (AV: N / AC: L / Au: N / C: P / I: N / A: N) y notó lo siguiente (parcial) ) adenda:

  

La puntuación CVSS V2 evalúa el impacto de la vulnerabilidad en el host    donde se encuentra la vulnerabilidad . Al evaluar el impacto de este   vulnerabilidad a su organización, tener en cuenta la naturaleza de   Los datos que se están protegiendo y actúan de acuerdo a su   la aceptación del riesgo de la organización.

Después de echar un vistazo a CVSS v3 documento de especificación no pude encontrar un fragmento de texto que explicó si el sistema de puntuación evalúa el impacto de manera similar a su predecesor. Si es así, ¿CVSS v3 sigue evaluando una vulnerabilidad en función del impacto que tiene en el host?

La razón por la que pregunto es porque Heartbleed parece estar clasificado mucho más bajo de lo que merece para ser calificado ( relevante ) y se preguntaba si esto volvería a ocurrir en una vulnerabilidad futura utilizando CVSS v3.

    
pregunta Juxhin 27.01.2016 - 12:09
fuente

2 respuestas

3

Sí lo hace. La puntuación base de CVSS 3 se calcula utilizando ocho factores:

  • El impacto está determinado por el alcance, la confidencialidad, la integridad y la disponibilidad.
  • Probabilidad está determinada por: vector de ataque, complejidad del ataque, privilegios requeridos e interacción del usuario.

Un buen lugar para aprender acerca de estos es la calculadora en línea .

El problema con CVSS y Heartbleed es que no tiene en cuenta vulnerabilidades encadenadas . La verdadera preocupación es que un atacante usa Heartbleed contra su servidor VPN, roba credenciales, usa las credenciales para conectarse y luego causa estragos en su red. Al utilizar CVSS solo considera el primer bit, por lo que no hay impacto para la confidencialidad y la integridad. Y con CVSS 2, el impacto de la confidencialidad es "parcial" y no "completo".

CVSS 3 funciona un poco mejor; Puntuación Heartbleed como 8.6 . Las clasificaciones de impacto ahora son bajas / altas en lugar de parciales / completas. Heartbleed es sin duda un alto impacto de confidencialidad, incluso si no está completo. También introducen el factor de "alcance" un tanto oscuro. Heartbleed ha cambiado el alcance, ya que está accediendo a la memoria fuera del alcance previsto de una conexión SSL. Sin embargo, CVSS 3 aún no tiene en cuenta las vulnerabilidades encadenadas.

También hay puntuaciones CVSS temporales y ambientales que agregan factores adicionales. La idea es que te ayuden a medir cosas como "este cuadro en particular es un gran riesgo en este momento". Sin embargo, he encontrado que los puntajes temporales y ambientales son raramente usados y no son particularmente útiles.

    
respondido por el paj28 27.01.2016 - 12:35
fuente
0

No, no lo hace. CVSS v3 aún evalúa el impacto, pero en relación con el componente afectado y no necesariamente el host.

Considere el caso en el que hackea totalmente una aplicación web, donde obtiene derechos administrativos y puede leer y manipular todos los datos. Esto tendría un serio impacto en relación con la aplicación (es decir, el componente), pero un bajo impacto en el host o el sistema operativo. En CVSS 2, el impacto se calificó en relación con el host, pero en CVSS 3 se califica en relación con el componente afectado.

  

CVSS v2.0 presentó dificultades para los proveedores al puntuar vulnerabilidades que comprometen completamente su software, pero solo afectan parcialmente al sistema operativo del host. En v2.0, las vulnerabilidades se califican en relación con el sistema operativo host, lo que llevó a un proveedor de aplicaciones a adoptar una convención métrica de impacto "Parcial +". CVSS v3.0 aborda este problema con actualizaciones sobre dónde se califican las métricas de impacto y una nueva métrica llamada Ámbito (que se explica más adelante).

     

Al calificar vulnerabilidades en CVSS v3.0, las métricas de explotabilidad se califican en relación con el componente vulnerable. Es decir, se puntúan considerando el componente que sufre la falla de codificación. Por otro lado, las métricas de impacto se califican en relación con el componente afectado.

Source

Heartbleed es uno de los ejemplos de CVSS , así que esa es una fuente bastante autoritaria en la puntuación CVSS correcta de Heartbleed.

    
respondido por el Sjoerd 06.06.2017 - 16:44
fuente

Lea otras preguntas en las etiquetas