CVSS v4.0: Metriky a praxe hodnocení zranitelností pro vývojáře
CVSS poskytuje standardizované číselné skóre od 0 do 10 pro charakterizaci zranitelností. Základní skóre odráží vnitřní vlastnosti zranitelnosti bez ohledu na konkrétní prostředí. NVD zveřejňuje tato hodnocení pro veřejné CVE a verze 4.0 upřesňuje metriky pro vyšší přesnost.
Vývojáři používají CVSS pro priorizaci záplat: skóre nad 7 vyžaduje okamžitou pozornost, zejména při existenci PoC exploitů. Zaměření na vektor útoku a dopad pomáhá rozlišit teoretické riziko od reálného.
Základní metriky: jádro hodnocení
Základní skupina zachycuje neměnné atributy zranitelnosti.
- Attack Vector (AV): Network (N) – vzdálený útok; Adjacent (A) – lokální síť; Local (L) – přímý přístup; Physical (P) – fyzický zásah.
- Attack Complexity (AC): Low – přímočarý; High – vyžaduje podmínky jako MITM.
- Privileges Required (PR): None – bez autentizace; Low – základní práva; High – přístup správce.
- User Interaction (UI): None – automatizovaný; Required – kliknutí nebo otevření souboru.
Dopad se hodnotí podle triády CIA:
- Confidentiality (C): None/Low/High – úroveň úniku dat.
- Integrity (I): None/Low/High – modifikace.
- Availability (A): None/Low/High – DoS.
Příklad: CVE-2021-44228 (Log4Shell) s AV:N/AC:L/PR:N/UI:N a High u všech CIA dává 10.0.
Časové metriky: dynamika hrozby
Temporal koriguje základní skóre podle aktuálních faktorů.
| Metrika | Popis | Vliv na skóre |
|---------|----------|-----------------|
| Exploit Code Maturity (E) | Žádný/PoC/High | Zvyšuje při existenci kódu |
| Remediation Level (RL) | Žádný/Workaround/Oficiální | Snižuje při opravě |
| Report Confidence (RC) | Low/Medium/High | Snižuje při pochybnostech |
EternalBlue (CVE-2017-0144, základní 8.1) se stal kritickým po PoC ve WannaCry kvůli High E.
Kontextové metriky: přizpůsobení infrastruktuře
Environmental umožňuje modifikovat základní metriky (Modified AV, AC atd.) pro konkrétní prostředí. Přidávají se požadavky:
- Confidentiality Requirement (CR): High pro data PCI DSS.
- Integrity Requirement (IR): High pro konfigurace.
- Availability Requirement (AR): High pro klíčové služby.
V izolované síti se AV:N mění na AV:L, což sníží skóre o 2–3 body.
Stupnice CVSS a pravidla pro priorizaci
| Rozsah | Úroveň | Akce |
|----------|---------|----------|
| 0 | None | Ignorovat |
| 0.1–3.9 | Low | Monitorovat |
| 4.0–6.9 | Medium | Vyhodnotit kontext |
| 7.0–8.9 | High | Určitě opravit |
| 9.0–10.0 | Critical | Okamžitě |
Pravidla pro middle/senior:
- CVSS ≥9.0 + PoC = priorita pro záplatu.
- Jakékoli skóre v nepoužívané komponentě = odstranit.
- Kontrolovat Modified metriky v CI/CD pipeline.
Příklady z praxe
- Log4Shell: Plný RCE přes logy, 10.0 základní.
- Follina (CVE-2022-30190): 7.8, vzrostlo na High s exploit APT.
- CVE-2024-40711 (Veeam): RCE bez autentizace, kritické pro zálohy.
Integrujte CVSS do vulnerability scannerů jako Trivy nebo Dependency-Check.
Spolehlivé zdroje dat
Pro ověření CVE:
- cve.org – oficiální registr.
- NVD – CVSS, CWE, CPE.
- Exploit-DB – PoC kódy.
- OWASP – Top 10, Testing Guide.
- PortSwigger Academy – laboratoře pro webové útoky.
Vyhýbejte se bulvárním zdrojům bez potvrzení.
Na co si dát pozor
- Základní skóre – výchozí bod, Temporal a Environmental – pro realitu.
- Network + None privileges + High CIA = vždy ≥9.0.
- Integrujte CVSS do automatizovaného skenování repozitářů.
- Ověřte PoC před panikou.
- Pro produkci – vždy použijte Modified metriky.
— Editorial Team
Zatím žádné komentáře.