Zurück zur Startseite

CVSS v4.0: Schwachstellenmetriken für IT

Artikel zerlegt CVSS v4.0: Basis-, temporale und kontextuelle Metriken für CVE-Bewertung. Beispiele echter Schwachstellen und Priorisierungsregeln für IT-Spezialisten. Integration in DevSecOps.

CVSS Masterclass: Schwachstellenbewertung v4.0
Advertisement 728x90

CVSS v4.0: Metriken und Bewertung von Schwachstellen für Entwickler

CVSS liefert eine standardisierte Bewertung von 0 bis 10, um Schwachstellen zu bewerten. Der Basiswert spiegelt die inhärenten Eigenschaften der Schwachstelle wider, unabhängig von einem spezifischen Umfeld. Der NVD veröffentlicht diese Werte für öffentliche CVEs, und Version 4.0 verfeinert die Metriken für mehr Präzision.

Entwickler nutzen CVSS, um Patches zu priorisieren: Werte über 7 erfordern sofortiges Handeln, besonders bei verfügbaren Proof-of-Concept-Exploits. Der Fokus auf Angriffsvektoren und Auswirkungen hilft, theoretische Risiken von realen Bedrohungen zu unterscheiden.

Basis-Metriken: Der Kern der Bewertung

Die Basisgruppe erfasst die festen Attribute einer Schwachstelle.

Google AdInline article slot
  • Attack Vector (AV): Network (N) — Fernangriff; Adjacent (A) — lokales Netzwerk; Local (L) — direkter Zugriff; Physical (P) — physische Manipulation.
  • Attack Complexity (AC): Low — unkompliziert; High — erfordert Bedingungen wie Man-in-the-Middle.
  • Privileges Required (PR): None — keine Authentifizierung; Low — grundlegende Rechte; High — Admin-Zugriff.
  • User Interaction (UI): None — vollautomatisch; Required — Benutzerklick oder Dateiöffnen.

Auswirkungen werden entlang der CIA-Triade bewertet:

  • Confidentiality (C): None/Low/High — Schwere eines Datenlecks.
  • Integrity (I): None/Low/High — Manipulationspotenzial.
  • Availability (A): None/Low/High — Ausfallwirkung.

Beispiel: CVE-2021-44228 (Log4Shell) mit AV:N/AC:L/PR:N/UI:N und High in allen CIA-Bereichen erzielt perfekte 10,0.

Temporäre Metriken: Berücksichtigung der Bedrohungsentwicklung

Temporäre Metriken passen den Basiswert an aktuelle Bedingungen an.

Google AdInline article slot

| Metrik | Beschreibung | Auswirkung auf Bewertung |

|--------|-------------|---------------------------|

| Exploit Code Maturity (E) | None/PoC/High | Steigt mit verfügbarem Code |

Google AdInline article slot

| Remediation Level (RL) | None/Workaround/Official | Sinkt mit Patches |

| Report Confidence (RC) | Low/Medium/High | Sinkt bei Unsicherheit |

EternalBlue (CVE-2017-0144, Basis 8,1) wurde durch PoC-Exploits im WannaCry-Angriff kritisch, dank hohem E-Wert.

Umgebungs-Metriken: Anpassung an Ihr Setup

Umgebungs-Metriken erlauben Anpassungen der Basis-Metriken (z. B. modifizierter AV, AC) an Ihr Umfeld. Zusätzliche Anforderungen umfassen:

  • Confidentiality Requirement (CR): High für PCI-DSS-Daten.
  • Integrity Requirement (IR): High für Konfigurationsdateien.
  • Availability Requirement (AR): High für missionstrittische Dienste.

In einem air-gapped Netzwerk sinkt AV:N auf AV:L und reduziert den Wert um 2–3 Punkte.

CVSS-Bewertungsskala und Priorisierungsregeln

| Bereich | Stufe | Maßnahme |

|---------|-------|----------|

| 0 | None | Ignorieren |

| 0,1–3,9 | Low | Beobachten |

| 4,0–6,9 | Medium | Kontext prüfen |

| 7,0–8,9 | High | Dringend patchen |

| 9,0–10,0 | Critical | Sofort patchen |

Regeln für Mid-/Senior-Devs:

  • CVSS ≥9,0 + PoC = höchste Priorität.
  • Jeder Wert in ungenutzten Komponenten = entfernen.
  • Modifizierte Metriken in CI/CD-Pipelines validieren.

Praxisbeispiele

  • Log4Shell: Vollständige RCE über Logs, Basis 10,0.
  • Follina (CVE-2022-30190): 7,8, hochgestuft auf High durch APT-Exploits.
  • CVE-2024-40711 (Veeam): Auth-Bypass-RCE, kritisch für Backups.

CVSS in Scanner wie Trivy oder Dependency-Check integrieren.

Verlässliche Datenquellen

Zur CVE-Überprüfung:

  • cve.org — offizielles Register.
  • NVD — CVSS-, CWE-, CPE-Details.
  • Exploit-DB — PoC-Exploits.
  • OWASP — Top 10, Testleitfaden.
  • PortSwigger Academy — Web-Attacke-Labs.

Unbestätigte Hype-Quellen meiden.

Wichtige Erkenntnisse

  • Basiswert als Ausgangspunkt; Temporäre und Umgebungs-Metriken machen es praxisnah.
  • Network + Keine Rechte + Hohe CIA = immer ≥9,0.
  • CVSS in Repo-Scan-Automatisierung einbauen.
  • PoCs vor Alarmauslösung prüfen.
  • Für Produktion immer modifizierte Metriken nutzen.

— Editorial Team

Advertisement 728x90

Weiterlesen