CVSS v3はホストの脆弱性の影響を評価しますか?
最近 Heartbleed の脆弱性を確認した後、そのCVSSスコア (AV:N/AC:L/Au:N/C:P/I:N/A: N) と次の(部分的な)補遺に気づきました:
CVSS V2スコアリングはホストの脆弱性の影響脆弱性のある場所を評価します。この脆弱性の組織への影響を評価するときは、保護されているデータの性質を考慮し、組織のリスクの受け入れに従って行動してください。
CVSS v3 仕様書 を見てみたところ、スコアリングシステムが前任者と同様に影響を評価するかどうかを説明するテキストを見つけることができませんでした。もしそうなら、CVSS v3はホストへの影響に基づいて脆弱性を評価しますか?
私が尋ねる理由は、Heartbleedがdeservesと比べて格段に低く評価されているようで( 関連 )、これがCVSS v3を使用した将来の脆弱性で再発します。
はい、そうです。 CVSS 3の基本スコアは、8つの要素を使用して計算されます。
- 影響は、スコープ、機密性、整合性、および可用性によって決定されます。
- 可能性は、攻撃ベクトル、攻撃の複雑さ、必要な特権、およびユーザーの操作によって決定されます。
これらについて学ぶのに適した場所は オンライン計算機 です。
CVSSとHeartbleedの問題は、連鎖脆弱性を考慮しないことです。本当の懸念は、攻撃者がVPNサーバーに対してHeartbleedを使用し、資格情報を盗み、資格情報を使用して接続し、ネットワークに大混乱をもたらすことです。 CVSSを使用する場合、最初のビットのみを考慮するため、機密性と整合性に影響はありません。 CVSS 2では、機密性への影響は「部分的」ではなく「完全」です。
CVSS 3は少し良く機能します。ハートブリードのスコアは 8.6 です。影響評価は、部分的/完全ではなく、低/高になりました。ハートブリードは、たとえ完全ではない場合でも、確かに機密性に大きな影響を与えます。また、ややあいまいな「スコープ」要素も導入しています。 SSL接続の対象範囲外のメモリにアクセスしているため、Heartbleedの範囲が変更されました。ただし、CVSS 3はまだ連鎖脆弱性を考慮していません。
追加の要素を追加するCVSS時間的および環境的スコアもあります。アイデアは、「この特定のボックスは現在大きなリスクです」のようなものを測定するのに役立ちます。ただし、一時的スコアと環境スコアはめったに使用されず、特に役に立たないことがわかりました。
いいえ、ありません。 CVSS v3は引き続き影響を評価しますが、影響を受けるコンポーネントに相対的であり、必ずしもホストではありません。
Webアプリケーションを完全にハックし、管理者権限を取得してすべてのデータを読み取り、操作できる場合を考えてみます。これは、アプリケーション(コンポーネントなど)に比べて深刻な影響がありますが、ホストまたはオペレーティングシステムへの影響はわずかです。 CVSS 2では影響はホストに関連して評価されましたが、CVSS 3では影響を受けるコンポーネントに関連して評価されました。
CVSS v2.0は、ソフトウェアを完全に危険にさらすが、ホストオペレーティングシステムに部分的にしか影響しない脆弱性をスコアリングする際に、ベンダーに困難をもたらしました。 v2.0では、脆弱性はホストオペレーティングシステムと比較してスコア付けされ、1つのアプリケーションベンダーが「部分+」影響測定基準規則を採用するようになりました。 CVSS v3.0は、影響メトリックがスコアリングされる場所と、スコープと呼ばれる新しいメトリック(以下でさらに説明)の更新により、この問題に対処しています。
CVSS v3.0で脆弱性をスコアリングする場合、脆弱性コンポーネントと比較して、悪用可能性メトリックがスコアリングされます。つまり、コーディングの欠陥のあるコンポーネントを考慮してスコアが付けられます。一方、影響度メトリックは、影響を受けるコンポーネントと比較してスコアリングされます。
Heartbleedは CVSSの例 の1つなので、Heartbleedの正しいCVSSスコアに関するかなり信頼できる情報源です。