CVSS3.0の影響スコアと悪用可能性スコア
私が遭遇したいくつかの調査結果で、CVSS v3.0スコアの計算に問題があります。
特に、1つの発見は、デフォルトのエラーページによる単純なサーバー情報の開示です。これは次のように非常に似ています: https://nvd.nist.gov/vuln/detail/CVE-2017-401
CVSS v3.0計算機を使用して、まったく同じCVSSベクトルにも到達しました(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N )とスコア(5.3、中)。
直感的には、攻撃者はバナーの開示を介して多くのことを行うことができないため、この発見は中程度であってはなりません。私はそれが低レベルまたは情報提供であるべきだと思います。私見、CVSS v3.0計算機は、C/I/A影響コンポーネントにこれを適切に説明するのに十分な細分性を提供しません。
ただし、上のリンクで、「影響スコア」と「悪用可能性スコア」もあり、どちらの場合も適切に低いことがわかります。ただし、これらがどのように導出されるのかについては言及されておらず、リンクやfirst.orgのCVSS計算機には記載されていません。 Googleをすばやく検索しても何も起こりません。
これらがどのように計算されるかを知っていてもいいですか、それらを使用してリスク評価を変更できますか?
NVDのCVSS計算機 には、「方程式を表示」ボタンがあり、予想どおり、影響や悪用可能性を含むさまざまな値の方程式を表示します。
この場合の基本スコアの問題は、機密性の喪失に対処する場合、方程式が開示されるデータの機密性を考慮しないことです。ソルトハッシュされたパスワードですか?ハッシュ化されていないパスワード?またはWebサーバーの特定の実装?リスクを評価する際に重要ですが、スコアでは考慮されません。
では、なぜスコアを計算しているのかによりますが、CVEを取得していますか?リスクにアクセスしようとしていますか?または、他の何か?アクセスリスクを試す場合は、基本スコアをガイドとして使用し、必要に応じて調整してください。
正直に言うと、バナー情報自体は直接攻撃に使用できないため、これを脆弱性とは見なしませんが、攻撃をより簡単に見つけるために使用できます。私たちはNessusを使用して製品の問題をスキャンし、Nessusは同じ理由で「情報提供」としてバナーが利用可能であることを報告します。
NVD NISTサイトによると、彼らはそれを再評価しているようです。私は別のサイト、CVE Detailsを見ていますが、スコアが少し低いようです https://www.cvedetails.com/cve/CVE-2017-4013/
https://www.cvedetails.com/cvss-score-charts.php によると、約5のスコアは4-5と5-6のスコアを持つほとんどのエントリの範囲内にあるようです合計エントリの20.40%と19.20%をキャプチャします。そのサイトによると、加重平均CVSSスコアは6.6であるため、5-5.3はスコアの点で平均よりも低くなります。また、4.0〜6.9のスコアは、中程度に分類されます( https://www.first.org/cvss/specification-document を参照)。したがって、脆弱性が低の場合、スコアは0.1〜3.9に達するはずです。