CVSS v4.0: Metryki i praktyki oceny luk w zabezpieczeniach dla programistów
CVSS dostarcza standaryzowany wskaźnik numeryczny od 0 do 10 do charakteryzacji luk w zabezpieczeniach. Wynik bazowy odzwierciedla wewnętrzne właściwości luki, bez uwzględnienia konkretnego środowiska. NVD publikuje te oceny dla publicznych CVE, a wersja 4.0 doprecyzowuje metryki dla dokładności.
Programiści używają CVSS do priorytetyzacji poprawek: wyniki powyżej 7 wymagają natychmiastowej uwagi, zwłaszcza przy istnieniu exploitów PoC. Skupienie się na wektorze ataku i wpływie pomaga odróżnić ryzyko teoretyczne od rzeczywistego.
Podstawowe metryki: jądro oceny
Bazowa grupa obejmuje niezmienne atrybuty luki.
- Attack Vector (AV): Network (N) — atak zdalny; Adjacent (A) — sieć lokalna; Local (L) — bezpośredni dostęp; Physical (P) — ingerencja fizyczna.
- Attack Complexity (AC): Low — prosty; High — wymaga warunków takich jak MITM.
- Privileges Required (PR): None — bez uwierzytelnienia; Low — podstawowe uprawnienia; High — dostęp administracyjny.
- User Interaction (UI): None — zautomatyzowany; Required — kliknięcie lub otwarcie pliku.
Wpływ oceniany jest według triady CIA:
- Confidentiality (C): None/Low/High — poziom wycieku.
- Integrity (I): None/Low/High — modyfikacja.
- Availability (A): None/Low/High — DoS.
Przykład: CVE-2021-44228 (Log4Shell) z AV:N/AC:L/PR:N/UI:N i High dla wszystkich CIA daje 10.0.
Tymczasowe metryki: dynamika zagrożenia
Temporal koryguje wynik bazowy na podstawie bieżących czynników.
| Metryka | Opis | Wpływ na wynik |
|---------|------|----------------|
| Exploit Code Maturity (E) | None/PoC/High | Zwiększa przy istnieniu kodu |
| Remediation Level (RL) | None/Workaround/Official | Zmniejsza przy poprawce |
| Report Confidence (RC) | Low/Medium/High | Zmniejsza przy wątpliwościach |
EternalBlue (CVE-2017-0144, bazowy 8.1) stał się krytyczny po PoC w WannaCry z powodu High E.
Kontekstowe metryki: adaptacja do infrastruktury
Environmental pozwala modyfikować bazowe metryki (Modified AV, AC itd.) do środowiska. Dodawane są wymagania:
- Confidentiality Requirement (CR): High dla danych PCI DSS.
- Integrity Requirement (IR): High dla konfiguracji.
- Availability Requirement (AR): High dla core-serwisów.
W izolowanej sieci AV:N zmienia się na AV:L, obniżając wynik o 2–3 punkty.
Skala CVSS i zasady priorytetyzacji
| Zakres | Poziom | Działania |
|--------|--------|-----------|
| 0 | None | Ignorować |
| 0.1–3.9 | Low | Monitorować |
| 4.0–6.9 | Medium | Ocenić kontekst |
| 7.0–8.9 | High | Szybko poprawić |
| 9.0–10.0 | Critical | Natychmiast |
Zasady dla middle/senior:
- CVSS ≥9.0 + PoC = priorytetowa poprawka.
- Dowolny wynik w nieużywanym komponencie = usunąć.
- Sprawdzać Modified metryki w pipeline'ach CI/CD.
Przykłady z praktyki
- Log4Shell: Pełny RCE przez logi, 10.0 bazowy.
- Follina (CVE-2022-30190): 7.8, wzrosło do High z exploitami APT.
- CVE-2024-40711 (Veeam): RCE bez auth, krytyczne dla backupów.
Integruj CVSS w skanery luk jak Trivy lub Dependency-Check.
Niezawodne źródła danych
Do weryfikacji CVE:
- cve.org — oficjalny rejestr.
- NVD — CVSS, CWE, CPE.
- Exploit-DB — kody PoC.
- OWASP — Top 10, Testing Guide.
- PortSwigger Academy — laboratoria ataków web.
Unikaj modnych źródeł bez potwierdzenia.
Co jest ważne
- Wynik bazowy — punkt startowy, Temporal i Environmental — dla rzeczywistości.
- Network + None privileges + High CIA = zawsze ≥9.0.
- Integruj CVSS w zautomatyzowane skanowanie repozytoriów.
- Sprawdzaj PoC przed paniką.
- Dla prod — zawsze Modified metryki.
— Editorial Team
Brak komentarzy.