Powrót do strony głównej

CVSS v4.0: metryki podatności dla IT

Artykuł omawia CVSS v4.0: metryki bazowe, temporalne i środowiskowe do oceny CVE. Przykłady rzeczywistych podatności i zasady priorytetyzacji dla specjalistów IT. Integracja w DevSecOps.

Warsztat z CVSS: ocena podatności v4.0
Advertisement 728x90

CVSS v4.0: Metryki i praktyki oceny luk w zabezpieczeniach dla programistów

CVSS dostarcza standaryzowany wskaźnik numeryczny od 0 do 10 do charakteryzacji luk w zabezpieczeniach. Wynik bazowy odzwierciedla wewnętrzne właściwości luki, bez uwzględnienia konkretnego środowiska. NVD publikuje te oceny dla publicznych CVE, a wersja 4.0 doprecyzowuje metryki dla dokładności.

Programiści używają CVSS do priorytetyzacji poprawek: wyniki powyżej 7 wymagają natychmiastowej uwagi, zwłaszcza przy istnieniu exploitów PoC. Skupienie się na wektorze ataku i wpływie pomaga odróżnić ryzyko teoretyczne od rzeczywistego.

Podstawowe metryki: jądro oceny

Bazowa grupa obejmuje niezmienne atrybuty luki.

Google AdInline article slot
  • Attack Vector (AV): Network (N) — atak zdalny; Adjacent (A) — sieć lokalna; Local (L) — bezpośredni dostęp; Physical (P) — ingerencja fizyczna.
  • Attack Complexity (AC): Low — prosty; High — wymaga warunków takich jak MITM.
  • Privileges Required (PR): None — bez uwierzytelnienia; Low — podstawowe uprawnienia; High — dostęp administracyjny.
  • User Interaction (UI): None — zautomatyzowany; Required — kliknięcie lub otwarcie pliku.

Wpływ oceniany jest według triady CIA:

  • Confidentiality (C): None/Low/High — poziom wycieku.
  • Integrity (I): None/Low/High — modyfikacja.
  • Availability (A): None/Low/High — DoS.

Przykład: CVE-2021-44228 (Log4Shell) z AV:N/AC:L/PR:N/UI:N i High dla wszystkich CIA daje 10.0.

Tymczasowe metryki: dynamika zagrożenia

Temporal koryguje wynik bazowy na podstawie bieżących czynników.

Google AdInline article slot

| Metryka | Opis | Wpływ na wynik |

|---------|------|----------------|

| Exploit Code Maturity (E) | None/PoC/High | Zwiększa przy istnieniu kodu |

Google AdInline article slot

| Remediation Level (RL) | None/Workaround/Official | Zmniejsza przy poprawce |

| Report Confidence (RC) | Low/Medium/High | Zmniejsza przy wątpliwościach |

EternalBlue (CVE-2017-0144, bazowy 8.1) stał się krytyczny po PoC w WannaCry z powodu High E.

Kontekstowe metryki: adaptacja do infrastruktury

Environmental pozwala modyfikować bazowe metryki (Modified AV, AC itd.) do środowiska. Dodawane są wymagania:

  • Confidentiality Requirement (CR): High dla danych PCI DSS.
  • Integrity Requirement (IR): High dla konfiguracji.
  • Availability Requirement (AR): High dla core-serwisów.

W izolowanej sieci AV:N zmienia się na AV:L, obniżając wynik o 2–3 punkty.

Skala CVSS i zasady priorytetyzacji

| Zakres | Poziom | Działania |

|--------|--------|-----------|

| 0 | None | Ignorować |

| 0.1–3.9 | Low | Monitorować |

| 4.0–6.9 | Medium | Ocenić kontekst |

| 7.0–8.9 | High | Szybko poprawić |

| 9.0–10.0 | Critical | Natychmiast |

Zasady dla middle/senior:

  • CVSS ≥9.0 + PoC = priorytetowa poprawka.
  • Dowolny wynik w nieużywanym komponencie = usunąć.
  • Sprawdzać Modified metryki w pipeline'ach CI/CD.

Przykłady z praktyki

  • Log4Shell: Pełny RCE przez logi, 10.0 bazowy.
  • Follina (CVE-2022-30190): 7.8, wzrosło do High z exploitami APT.
  • CVE-2024-40711 (Veeam): RCE bez auth, krytyczne dla backupów.

Integruj CVSS w skanery luk jak Trivy lub Dependency-Check.

Niezawodne źródła danych

Do weryfikacji CVE:

  • cve.org — oficjalny rejestr.
  • NVD — CVSS, CWE, CPE.
  • Exploit-DB — kody PoC.
  • OWASP — Top 10, Testing Guide.
  • PortSwigger Academy — laboratoria ataków web.

Unikaj modnych źródeł bez potwierdzenia.

Co jest ważne

  • Wynik bazowy — punkt startowy, Temporal i Environmental — dla rzeczywistości.
  • Network + None privileges + High CIA = zawsze ≥9.0.
  • Integruj CVSS w zautomatyzowane skanowanie repozytoriów.
  • Sprawdzaj PoC przed paniką.
  • Dla prod — zawsze Modified metryki.

— Editorial Team

Advertisement 728x90

Czytaj dalej