Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Sprawdź VPS od Aruba!

Aruba

Opublikowano finalną wersję CVSS 4.0 – systemu umożliwiającego „wycenę” krytyczności podatności

01 listopada 2023, 22:34 | W biegu | 0 komentarzy
Tagi: , ,

Sam CVSS to sposób na „wycenę” podatności w skali od 0 do 10 (0 – w zasadzie to nie jest podatność; 10 – podatność krytyczna).

Listę zmian w stosunku do CVSS 3.1 znajdziecie w tym miejscu. Jeśli wersja 3.1 wydała się Wam zbyt skomplikowana to wersja 4.0 – dodaje jeszcze więcej do kotła. Mamy tutaj:

  • Dodatkową wartość: Attack Requirements (czyli wymagania, które muszą być spełnione aby podatność w ogóle można było wykorzystać – np. skonfigurowany odpowiedni moduł w aplikacji, czy ustawiony konkretny parametr konfiguracyjny)
  • Nieco zmieniają się wartości parametru User Interaction (UI).

    Może to być teraz None – nie jest wymagana interakcja od strony ofiary.

    Kolejno: Passive (P) – minimalna interakcja – np. kliknięcie linku

    Oraz: Active (A) – interakcja niestandardowa, sprzeczna z przyjętymi standardami – np. zignorowanie ostrzeżeń generowanych przez przeglądarkę i uruchomienie pobranego załącznika
  • Zamiast wpływu na poufność / integralność / dostępność danego systemu – mamy nieco mniej poradne określenia:
    • Vulnerable System Confidentiality (VC)
    • Vulnerable System Integrity (VI)
    • Vulnerable System Availability (VA)
  • A do tego SC / SI / SA (Subsequent System Confidentiality, Subsequent System Integrity, Subsequent System Availability) – czyli wpływ danej podatności na większą część atakowanego systemu – np. błąd w jakiejś aplikacji może mieć potencjalnie wpływ na cały system operacyjny (np. jeśli aplikacja pracuje z uprawnieniami administratora)

Konkretne przykłady „wycen” podatności macie przedstawione tutaj.

I na przykład taka „wycena”: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N przybiera następującą postać w wersji 4.0: CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:H/SA:N/S:P/V:D

Z mojej strony – już w wersji 3.1 – wyliczanie CVSS score było często traktowane dość luźno (chodzi o dobór parametrów do kalkulatora), a w CVSS 4.0 będzie pewnie jeszcze luźniej :/

Na koniec – dodano pewne nowe warianty CVSS. Najczęściej używaną będzie najpewniej CVSS-B (Base), ale istnieją również inne – biorące pod uwagę np. dostępność exploitu.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz