CVSS (Common Vulnerability Scoring System)
用來評估漏洞風險的數值,不過相關的中文資料似乎沒有很多,因此,粗略的翻譯了一下。
- Base Metrics
- Exploitability Metrics
- 此度量主要反映出這樣含有弱點的東西(thing)的特性,在此我們將其稱作為脆弱元件(vulnerable component)
- Attack Vector (AV)
- 說明
- 此參數主要反映出弱點被利用之可能性
- 此值會根據攻擊者可利用此vulnerable component的遠端程度而提高
- 遠端程度越高,分數越高
- Value
- Network (N)
- 主要是透過OSI 第三層(Network Layer),又被稱作"Remotely Exploitable"
- 此漏洞可透過路由器,傳遞超過1個以上的network hop
- 例子:CVE-2004-0230
- Adjacent (A)
- 透過鄰接網路(Adjacent Network)
- 範圍限制於分享硬體(ex: bluetooth'IEEE 802.11...)或是邏輯網路(Logical Network) (ex: local IP subnet)
- 無法跨越OS 第三層之邊界(ex: 路由器)
- 例子:CVE-2013-6014
- Local (L)
- 主要透過 讀取、寫入、執行的能力
- 例如: 攻擊者登入主機,進而利用漏洞
- 例如: 使用者執行惡意程式
- Physical (P)
- 攻擊者必須實際碰到或是操作vulnerable component
- 硬體互動可以是短暫,也可以是持續
- 例子:Cold boot attack
- 例子:firwire/USB Direct Memory Access attack
- Attack Complexity (AC)
- 說明
- 攻擊者要利用此漏洞前,必須要掌控的程度
- 必須要排除與使用者的互動
- Value
- Low(L)
- 不需要特定的環境,即可重複成功地利用此vulnerable component
- High(H)
- 必須要在攻擊者可控制的環境下,才能攻擊成功
- 換句話說,再利用此漏洞前,攻擊者必須要做一些準備或是針對此vulnerable component做一些動作,才能成功攻擊。
- 例子: Man-in-the-middle attack
- Privileges Required (PR)
- 說明
- 要成功利用此漏洞之前,必須達到之權限等級
- Value
- None (N)
- 不需要任何授權
- 不需要任何訪問(access)任何設定或是檔案
- Low (L)
- 基本使用者之權限
- 可正常影響使用者權限之設定或檔案
- High (H)
- 高權限(ex: administrator
- User Interaction (UI)
- 說明:
- 此項目主要是針對是否要使用者互動
- 攻擊者是否可以獨立成功利用此vulnerable component,還是要使用者必須要在特定的狀態,或是特定方式
- Value
- None(N)
- 不需要任何與使用者的互動
- Required(R)
- 使用者必須要做某些行為
- 例子:以管理者權限安裝軟體
- Scope (S)
- 說明:
- CVSS v3才有的參數
- 授權範圍、權力範圍
- 漏洞是否有能力影響資源原本之權限以及原本之意義
- 例如: switch的權力範圍是控制網路封包從一個port轉換到另一個port
- 當一個軟體物件的授權範圍,會因為漏洞而影響到另外一個授權範圍,此時,範圍(scope)改變了
- Value
- Unchanged(U)
- 漏洞僅能影響相同之授權範圍。
- Changed(C)
- 漏洞可影響超越其授權之資源
- vulnerable component與被影響之物件是不同的
- Impact Metrics
- 說明當漏洞被利用時,會影響之一個或是多個物件
- 此度量會針對直接且可預測與此漏洞成功利用所造成最嚴重的結果
- 此分析必須要是合理,並且確信攻擊者可以達成的
- 當Scope(S) Unchanged(U),則僅需要顯示該Vulnerability component的C、I、A
- 當Scope(S) Changed(C),則C、I、A要顯示的不僅是Vulnerability component,還要考慮受影響的component
- Confidentiality Impact ( c )
- 說明
- 主要描述機密資源(information resource)洩漏的程度
- 機密資源主要針對限制存取、特定權限等相關資源
- Value
- High(H)
- 受影響的物件內,所有機密資料皆被洩漏給攻擊者
- 或是部分重要資料,但是會造成嚴重影響,例如:administrator password
- Low(L)
- 部分機密資料洩漏,但是攻擊者無法隨心所欲得到想要的資料
- 洩漏的資料,不會造成對於受影響之物件造成直接且嚴重的損失
- None(N)
- 受影響的物件,沒有機密資料洩漏
- Integrity Impact (I)
- 說明
- Integrity表示真實且可信賴之資料,資料完整性
- 此度量主要表示漏洞之成功利用,對完整性的影響
- Value
- High(H)
- 全部完整性喪失
- 完全失去保護
- 攻擊者修改任意被影響物件中,被保護的檔案
- 或是部分檔案可被修改,但是惡意修改會對impacted component造成直接且嚴重之影響
- Low(L)
- 檔案修改是可能的,但是攻擊者無法控制修改結果或是修改是有限制的
- 檔案修改,不會對impacted component造型直接且嚴重之影響
- None(N)
- 不會造成完整性之損失
- Availability Impact (A)
- 說明
- 可用性影響
- 例如:網路服務,當攻擊會消耗network bandwidth 、disk space等,都會影響到可用性
- Value
- High(H)
- 攻擊可以導致受影響的物件完全無法訪問資源
- 狀況可以是持續性(只有在攻擊持續的當下)
- 可以是永久性(攻擊完成後,誠然持續)
- 或者攻擊者可以阻斷(deny)部分可用性,但是會對impacted component造成直接且嚴重的影響
- 例如: 攻擊者無法切斷既有連線,但是可以阻止新連線
- Low(L)
- 減少效能、中斷資源可利用性
- 重複的漏洞利用是可能的<
- 但是攻擊者無法完全阻斷合法使用者的服務
- 被影響的物件,僅會在部分時間有影響
- 無法對impacted component造成直接且嚴重的影響
- None(N)
- 不會影響可用性
- Temporal Score Metrics
- 考慮針對該漏洞目前exploit技術、有效的程式碼的狀況
- 考慮是否存在任何修補(patch)、解決方案(workaround)、漏洞的細節揭露
- Exploitability ( E)
- 說明
- 漏洞被攻擊的可能性
- 基於exploit技術、程式的可用性
- 是否有公開的可利用的exploit程式碼,或是漏洞的關鍵細節
- Value
- Not Defined(X)
- 設定此值,將不會影響分數
- 若設定此值,就可以略過此度量
- High(H)
- 存在可利用之程式
- 不需要破解,而細節被廣泛的知悉,而且可利用
- Exploit程式可在所有情境下運作,或是可被其他agent傳遞(worm, virus...)
- 網路連線系統會被掃描或是被開採(exploit)
- Exploit的開發,已經到達:可靠、廣泛有效(widely-available、容易使用的工具
- Functional(F)
- 存在可利用的有效exploit code
- 在大部份存在漏洞之情境,可正常運作
- Proof-of-Concept(P)
- POC程式是有效的
- 攻擊範例(demo)無法在大部分系統上運作
- 無法在全部情境下運作,可能需要大量更動
- Unproven(U)
- 沒有有效的exploit code
- exploit只是理論
- Remediation Level (RL)
- 說明
- 修補程度是漏洞很重要的元素
- 典型的漏洞在被公佈的最初,是還沒被更新(patch)的
- 解決方法(workaround)、修補程序(hotfix)等臨時的補救方案 ,在正式的更新以前,都會是問題
- Value
- Not Defined(X)
- 設定此值,將不會影響分數
- 若設定此值,就可以略過此度量
- Unavailable(U)
- 還沒有解決方案或是不可能執行
- Workaround (W)
- 存在非官方或是非廠商的解決方法
- 使用者可以自行製作補釘(patch)或是提供解決方法
- 減輕漏洞
- Temporary (T)
- 存在官方臨時的修補
- 可能是workaround、tmp hotfix、tool
- Official Fix(O)
- 完整的官方解決方案
- 可能是patch、upgrade
- Report Confidence (RC)
- 說明
- 漏洞存在的可信度
- 可信的已知技術細節
- 有時候只有漏洞的存在被公佈,但是沒有細節
- 漏洞被廠商或是可信單位證實,此值就越高
- Value
- Not Defined (X)
- 設定此值,將不會影響分數
- 若設定此值,就可以略過此度量
- Confirmed (C)
- 存在漏洞細節報告
- 存在可重現性
- 原始碼被研究人員研究並證實其存在
- 該程式軟體的開發者或廠商,證實其存在
- Reasonable(R)
- 重要細節被公佈,但是研究人員還無法找到根本原因,或是沒有原始碼可以檢驗
- 存在合理的可信度,可以被重現或是至少一個影響是被證實的
- Unknown(U)
- 漏洞影響的報告顯示出漏洞的存在
- 還不知道造成此漏洞的原因
- 對於影響、原因,有多個不同的報告
- 報告不確定該漏洞的本質
- 存在有效的報告,但是可信度低
- Environmental Score Metrics
- 會根據該IT設備對於使用者組織的重要性做客製化CVSS分數
- Impact Subscore Modifiers(Security Requirements)
- 對於整個Environmental Score而言,主要是以Modified Base Metrics為主,而Security Requirements主要是調整權重比例
- Confidentiality Requirement (CR)
- Value
- Not Defined(N)
- 設定此值,將不會影響分數
- 若設定此值,就可以略過此度量
- High(H)
- 機密的損失,對於組織或是與組織有關係之個人,造成影響
- 災難影響(catastrophic adverse)
- Medium(M)
- 機密的損失,對於組織或是與組織有關係之個人,造成影響
- 嚴重影響(serious adverse)
- Low(L)
- 機密的損失,對於組織或是與組織有關係之個人,造成影響
- 有限的有影響(limited adverse)
- Integrity Requirement (IR)
- 同CR
- Availability Requirement (AR)
- 同CR
- Modified Base Metrics
- 根據分析的環境調整Base Metrics
- 目的比較傾向根據環境來減少base score的分數
- 也是可以增加base score的分數
- Exploitability Metrics
- Attack Vector (MAV)
- Attack Complexity (MAC)
- Privileges Required (MPR)
- User Interaction (MUI)
- Scope(MS)
- Impact Metrics
- Confidentiality Impact (MC )
- Integrity Impact (MI)
- Availability Impact (MA)
留言
張貼留言