¿Cómo calcular el CVSS de un ataque para que coincida con los de los CVE?

2

Dibujé un gráfico de ataque para una aplicación para compartir archivos (por ejemplo, Dropbox) donde una base de datos almacena detalles de máquinas virtuales, por ej. espacio de memoria restante, etc. He enumerado algunos posibles ataques:

  1. El atacante puede reducir el tamaño de memoria asignado en cierta cantidad (por ejemplo, si me asignan 2 Gb de memoria, el atacante puede reducirlo a 1 Gb manipulando los registros de la base de datos).
  2. El atacante puede reducir el tamaño de memoria asignado a cero (por ejemplo, como en el caso anterior, pero no queda espacio en la memoria y, por lo tanto, no puedo cargar ningún archivo)
  3. El atacante puede realizar ataques repetidos y reducir el tamaño de la memoria (por ejemplo, como en el punto 1. donde el tamaño de la memoria se redujo a 1 Gb. Lo mismo se repite y el tamaño de la memoria se reduce a 0.5Gb)
  4. El atacante puede piratear un enlace entre el descargador y la ubicación del archivo y obtener el archivo

Necesito calcular CVSS. ¿Cómo relaciono los ataques que he enumerado con los de CVE?

    
pregunta user2281204 13.02.2014 - 20:13
fuente

1 respuesta

1

Iría con la calculadora CVSS del NIST que puede encontrar aquí enlace

Si la vulnerabilidad se puede explotar en una red no adyacente, y la complejidad de acceso es baja, y el atacante debe autenticar varias veces que haya

AN:N, AC:L, Au:M

Sin impacto en la confidencialidad e integridad, mientras que un impacto completo en la disponibilidad da

C:N, I:N, A:C

dará las siguientes puntuaciones

Base-Score: 6.1
Base-Impact: 6.9
Exploitability: 6.4

y una puntuación global de

6.1

hace que sea una vulnerabilidad major . Puede seguir calculando los puntajes temporales y ambientales en la página del NIST.

    
respondido por el fr00tyl00p 13.02.2014 - 22:54
fuente

Lea otras preguntas en las etiquetas