本文深入解析了通用漏洞评分系统(CVSS)的评分依据,包括基础评价、生命周期评价和环境评价三个维度,以及在CVSS2.0和3.1版本间的差异。CVSS评分考虑了漏洞的攻击途径、复杂度、认证、机密性、完整性和可用性等因素,用于评估漏洞的严重程度。文章通过永恒之蓝漏洞为例,说明了评分并不完全反映漏洞的实际影响,指出满分漏洞并不总是最严重的。此外,列举了近年来一些高分漏洞,强调了CVSS评分在网络安全响应中的重要性。
01 引言
近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞的CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CVSS3.1的评分为9.8。那么CVSS的评分依据究竟是什么?2.x和3.x的评分标准区别在哪?是否分数越高就表示漏洞危害越大?近年来又有哪些CVSS评分为满分的漏洞?本篇文章想就这些问题跟大家简单聊一聊。
02 CVSS评分依据
2.1 CVSS评分指标
CVSS全称为Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个行业公开的标准。其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS和CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。CVSS标准由FIRST制定,并由其组织团队SIG(The CVSS Special Interest Group)改进和推广。通过漏洞难易程度以及对机密性、完整性、可用性的影响综合评估后,生成一个0到10分之间的评分值来评估漏洞的严重程度。
CVSS的评分指标由三部分组成:
1、基础评价(Base Metric Group):
评估漏洞本身固有的一些特点及这些特点可能造成的影响。基础评价指的是一个漏洞的内在特征,该特征随时间和用户环境保持不变,基础评价是CVSS评分里最重要的一个指标,我们一般说的CVSS评分都是指漏洞的基础评价得分。
2、生命周期评价(Temporal Metric Group):
此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法或者漏洞报告的可信度等。生命周期评价几乎肯定会随着时间的推移而改变。
3、环境评价(Environmental Metric Group):
这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,并根据组织基础结构中组件的情况的分配分值。
2.2 基础评价对比
不同版本的CVSS对以上三个维度的评价方式略有不同,CVSS2.0在基础评价阶段主要评估攻击途径、攻击复杂度、认证、机密性、完整性和可用性几个方面,评分要素如下表所示:
最低0.47元/天 解锁文章
扫一扫
6075
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
