Puntuación de impacto CVSS3.0 y explotabilidad

1

Tengo algunos problemas para calcular los puntajes de CVSS v3.0 en algunos hallazgos que he encontrado.

En particular, un hallazgo es una simple divulgación de información del servidor a través de páginas de error predeterminadas. Es muy similar a lo siguiente: enlace

Con la calculadora CVSS v3.0, también he llegado al mismo vector CVSS (AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N) y puntuación (5.3, medio).

Intuitivamente, este hallazgo no debería ser un Medio, ya que los atacantes realmente no pueden hacer mucho a través de la divulgación de un banner. Yo pensaría que debería ser bajo o incluso informativo. En mi humilde opinión, la calculadora CVSS v3.0 no proporciona suficiente granularidad en los componentes de impacto de C / I / A para dar cuenta de esto de manera adecuada.

Sin embargo, observo en el enlace anterior que también hay un "puntaje de impacto" y un "puntaje de explotabilidad", que son apropiadamente bajos en ambos casos. No se menciona, sin embargo, cómo se derivan, no en el enlace, o la calculadora CVSS en first.org. Una búsqueda rápida en Google tampoco da nada.

¿Puedo saber cómo se calculan, y se pueden usar para modificar las calificaciones de riesgo?

    
pregunta user1118764 25.09.2018 - 08:46
fuente

2 respuestas

1

La calculadora CVSS en NVD tiene un botón "Mostrar ecuaciones" que, como lo haría expect, muestra las ecuaciones de los diversos valores, incluidos el impacto y la explotabilidad.

El problema con el puntaje base en este caso es que cuando se trata de una pérdida de confidencialidad, la ecuación no tiene en cuenta la sensibilidad de los datos que se divulgan. ¿Se trata de contraseñas con sal y hash? ¿Contraseñas sin descifrar? ¿O la implementación específica de un servidor web? Es importante cuando se evalúa el riesgo, pero el puntaje no lo tiene en cuenta.

Entonces, ahora depende de por qué estás calculando la puntuación, ¿estás obteniendo un CVE? ¿Estás tratando de acceder al riesgo? ¿O algo mas? Si está tratando de acceder al riesgo, use la puntuación base como una guía y ajústela según lo considere apropiado.

Para ser honesto, no veo esto como una vulnerabilidad, ya que la información del banner en sí misma no se puede usar directamente para atacar el software, aunque se puede usar para encontrar ataques más fácilmente. Usamos Nessus para escanear nuestros productos en busca de problemas y Nessus informa que los banners están disponibles como "informativos" por el mismo motivo.

    
respondido por el Swashbuckler 26.09.2018 - 15:46
fuente
0

Según el sitio NVD NIST, parece que lo están reevaluando. Estoy buscando en otro sitio, Detalles de CVE, y parece que le dieron una puntuación ligeramente más baja enlace

Según enlace el puntaje de alrededor de 5 parece estar dentro del rango de la mayoría de las entradas con puntaje de 4-5 y 5-6 que capturan el 20.40% y el 19.20% del total de entradas. Según ese sitio, el puntaje CVSS promedio ponderado es 6.6 y, por lo tanto, 5-5.3 lo haría menos que el promedio en términos de puntajes. También un puntaje de 4.0 a 6.9 lo clasificaría como Medio (ver enlace ). Entonces, si la vulnerabilidad es baja, solo debería alcanzar un puntaje de 0.1 a 3.9.

    
respondido por el NASAhorse 25.09.2018 - 22:14
fuente

Lea otras preguntas en las etiquetas