Zpět na domů

CVSS v4.0: metriky zranitelností pro IT

Článek rozebírá CVSS v4.0: základní, časové a environmentální metriky pro hodnocení CVE. Příklady reálných zranitelností a pravidla prioritizace pro IT specialisty. Integrace do DevSecOps.

Masterclass k CVSS: hodnocení zranitelností v4.0
Advertisement 728x90

CVSS v4.0: Metriky a praxe hodnocení zranitelností pro vývojáře

CVSS poskytuje standardizované číselné skóre od 0 do 10 pro charakterizaci zranitelností. Základní skóre odráží vnitřní vlastnosti zranitelnosti bez ohledu na konkrétní prostředí. NVD zveřejňuje tato hodnocení pro veřejné CVE a verze 4.0 upřesňuje metriky pro vyšší přesnost.

Vývojáři používají CVSS pro priorizaci záplat: skóre nad 7 vyžaduje okamžitou pozornost, zejména při existenci PoC exploitů. Zaměření na vektor útoku a dopad pomáhá rozlišit teoretické riziko od reálného.

Základní metriky: jádro hodnocení

Základní skupina zachycuje neměnné atributy zranitelnosti.

Google AdInline article slot
  • Attack Vector (AV): Network (N) – vzdálený útok; Adjacent (A) – lokální síť; Local (L) – přímý přístup; Physical (P) – fyzický zásah.
  • Attack Complexity (AC): Low – přímočarý; High – vyžaduje podmínky jako MITM.
  • Privileges Required (PR): None – bez autentizace; Low – základní práva; High – přístup správce.
  • User Interaction (UI): None – automatizovaný; Required – kliknutí nebo otevření souboru.

Dopad se hodnotí podle triády CIA:

  • Confidentiality (C): None/Low/High – úroveň úniku dat.
  • Integrity (I): None/Low/High – modifikace.
  • Availability (A): None/Low/High – DoS.

Příklad: CVE-2021-44228 (Log4Shell) s AV:N/AC:L/PR:N/UI:N a High u všech CIA dává 10.0.

Časové metriky: dynamika hrozby

Temporal koriguje základní skóre podle aktuálních faktorů.

Google AdInline article slot

| Metrika | Popis | Vliv na skóre |

|---------|----------|-----------------|

| Exploit Code Maturity (E) | Žádný/PoC/High | Zvyšuje při existenci kódu |

Google AdInline article slot

| Remediation Level (RL) | Žádný/Workaround/Oficiální | Snižuje při opravě |

| Report Confidence (RC) | Low/Medium/High | Snižuje při pochybnostech |

EternalBlue (CVE-2017-0144, základní 8.1) se stal kritickým po PoC ve WannaCry kvůli High E.

Kontextové metriky: přizpůsobení infrastruktuře

Environmental umožňuje modifikovat základní metriky (Modified AV, AC atd.) pro konkrétní prostředí. Přidávají se požadavky:

  • Confidentiality Requirement (CR): High pro data PCI DSS.
  • Integrity Requirement (IR): High pro konfigurace.
  • Availability Requirement (AR): High pro klíčové služby.

V izolované síti se AV:N mění na AV:L, což sníží skóre o 2–3 body.

Stupnice CVSS a pravidla pro priorizaci

| Rozsah | Úroveň | Akce |

|----------|---------|----------|

| 0 | None | Ignorovat |

| 0.1–3.9 | Low | Monitorovat |

| 4.0–6.9 | Medium | Vyhodnotit kontext |

| 7.0–8.9 | High | Určitě opravit |

| 9.0–10.0 | Critical | Okamžitě |

Pravidla pro middle/senior:

  • CVSS ≥9.0 + PoC = priorita pro záplatu.
  • Jakékoli skóre v nepoužívané komponentě = odstranit.
  • Kontrolovat Modified metriky v CI/CD pipeline.

Příklady z praxe

  • Log4Shell: Plný RCE přes logy, 10.0 základní.
  • Follina (CVE-2022-30190): 7.8, vzrostlo na High s exploit APT.
  • CVE-2024-40711 (Veeam): RCE bez autentizace, kritické pro zálohy.

Integrujte CVSS do vulnerability scannerů jako Trivy nebo Dependency-Check.

Spolehlivé zdroje dat

Pro ověření CVE:

  • cve.org – oficiální registr.
  • NVD – CVSS, CWE, CPE.
  • Exploit-DB – PoC kódy.
  • OWASP – Top 10, Testing Guide.
  • PortSwigger Academy – laboratoře pro webové útoky.

Vyhýbejte se bulvárním zdrojům bez potvrzení.

Na co si dát pozor

  • Základní skóre – výchozí bod, Temporal a Environmental – pro realitu.
  • Network + None privileges + High CIA = vždy ≥9.0.
  • Integrujte CVSS do automatizovaného skenování repozitářů.
  • Ověřte PoC před panikou.
  • Pro produkci – vždy použijte Modified metriky.

— Editorial Team

Advertisement 728x90

Číst dál