Volver al inicio

CVSS v4.0: métricas de vulnerabilidad para TI

El artículo desglosa CVSS v4.0: métricas base, temporales y contextuales para evaluación CVE. Ejemplos de vulnerabilidades reales y reglas de priorización para especialistas TI. Integración en DevSecOps.

CVSS Masterclass: evaluación de vulnerabilidades v4.0
Advertisement 728x90

# CVSS v4.0: Métricas y puntuación de vulnerabilidades para desarrolladores

CVSS ofrece una puntuación estandarizada de 0 a 10 para evaluar vulnerabilidades. La puntuación base refleja las cualidades inherentes de la vulnerabilidad, independientemente del entorno específico. El NVD publica estas puntuaciones para los CVE públicos, y la versión 4.0 refina las métricas para mayor precisión.

Los desarrolladores usan CVSS para priorizar parches: puntuaciones por encima de 7 requieren acción inmediata, especialmente con exploits de prueba de concepto disponibles. Centrarse en vectores de ataque e impacto ayuda a diferenciar riesgos teóricos de amenazas reales.

Métricas base: El núcleo de la puntuación

El grupo base captura los atributos fijos de una vulnerabilidad.

Google AdInline article slot
  • Vector de ataque (AV): Red (N) — ataque remoto; Adyacente (A) — red local; Local (L) — acceso directo; Físico (P) — manipulación física.
  • Complejidad de ataque (AC): Baja — directa; Alta — requiere condiciones como hombre en el medio.
  • Privilegios requeridos (PR): Ninguno — sin autenticación; Bajos — derechos básicos; Altos — acceso de administrador.
  • Interacción del usuario (UI): Ninguna — totalmente automatizada; Requerida — clic del usuario o apertura de archivo.

El impacto se evalúa en la tríada CIA:

  • Confidencialidad (C): Ninguna/Baja/Alta — gravedad de fuga de datos.
  • Integridad (I): Ninguna/Baja/Alta — potencial de modificación.
  • Disponibilidad (A): Ninguna/Baja/Alta — impacto de denegación de servicio.

Ejemplo: CVE-2021-44228 (Log4Shell) con AV:N/AC:L/PR:N/UI:N y Alta en todas las CIA obtiene un perfecto 10.0.

Métricas temporales: Adaptándose a la evolución de las amenazas

Las métricas temporales ajustan la puntuación base según las condiciones actuales.

Google AdInline article slot

| Métrica | Descripción | Impacto en puntuación |

|---------|-------------|-----------------------|

| Madurez del código de exploit (E) | Ninguna/PoC/Alta | Aumenta con código disponible |

Google AdInline article slot

| Nivel de remediación (RL) | Ninguno/Solución temporal/Oficial | Disminuye con parches |

| Confianza en el informe (RC) | Baja/Media/Alta | Baja con incertidumbre |

EternalBlue (CVE-2017-0144, base 8.1) se volvió crítica tras exploits PoC en WannaCry, gracias a E Alta.

Métricas ambientales: Adaptadas a tu entorno

Las métricas ambientales permiten ajustar las métricas base (como AV, AC modificados) a tu entorno. Requisitos adicionales incluyen:

  • Requisito de confidencialidad (CR): Alto para datos PCI DSS.
  • Requisito de integridad (IR): Alto para archivos de configuración.
  • Requisito de disponibilidad (AR): Alto para servicios críticos.

En una red aislada, AV:N baja a AV:L, reduciendo la puntuación en 2-3 puntos.

Escala de puntuación CVSS y reglas de priorización

| Rango | Nivel | Acción |

|-------|-------|--------|

| 0 | Ninguno | Ignorar |

| 0.1–3.9 | Bajo | Monitorear |

| 4.0–6.9 | Medio | Evaluar contexto |

| 7.0–8.9 | Alto | Parchear urgentemente |

| 9.0–10.0 | Crítico | Parchear inmediatamente |

Reglas para desarrolladores intermedios/senior:

  • CVSS ≥9.0 + PoC = parche de máxima prioridad.
  • Cualquier puntuación en componentes no usados = eliminarlos.
  • Validar métricas modificadas en tus pipelines CI/CD.

Ejemplos del mundo real

  • Log4Shell: RCE completo vía logs, base 10.0.
  • Follina (CVE-2022-30190): 7.8, escalada a Alto con exploits APT.
  • CVE-2024-40711 (Veeam): Bypass de autenticación RCE, crítico para backups.

Integra CVSS en escáneres como Trivy o Dependency-Check.

Fuentes de datos confiables

Para verificación de CVE:

  • cve.org — registro oficial.
  • NVD — detalles CVSS, CWE, CPE.
  • Exploit-DB — exploits PoC.
  • OWASP — Top 10, Guía de pruebas.
  • PortSwigger Academy — laboratorios de ataques web.

Evita fuentes de hype no verificadas.

Conclusiones clave

  • La puntuación base es el punto de partida; Temporales y Ambientales la hacen relevante al mundo real.
  • Red + Sin privilegios + CIA Alta = siempre ≥9.0.
  • Integra CVSS en la automatización de escaneo de repos.
  • Verifica PoC antes de dar alarmas.
  • Para producción, usa siempre métricas modificadas.

— Editorial Team

Advertisement 728x90

Leer después