Common Vulnerability Scoring System

Common Vulnerability Scoring System (CVSS) — это открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления.

Оценки рассчитываются по специальным формулам на основе нескольких метрик и приблизительно оценивают простоту внедрения эксплойта и его влияние на компьютерную систему. Результатом расчета являются три числовые оценки (Base Score, Temporal Score и Environmental Score), каждая из которых может принимать значение от 0 до 10, где 10 выражает максимальную опасность.

Исследования, проводимые в 2003–2004 годах Национальным Консультативным Советом по Инфраструктуре (англ. National Infrastructure Advisory Council, NIAC), привели к появлению в феврале 2005 года первой версии CVSS. Первоначальной целью было получение открытых и универсальных методов оценки серьёзности уязвимостей в программном обеспечении. В апреле 2005 NIAC запустила сайт Forum of Incident Response and Security Teams (сокр. FIRST), на котором была опубликована первая версия стандарта.

Первая версия стандарта не подвергалась экспертной оценке сторонних организаций, поэтому реальные отзывы компаний, специализировавшихся на разработке программного обеспечения и пытавшихся его использовать, обнажили многие серьезные проблемы, в связи с чем в июне 2007 вышла вторая версия стандарта. Дальнейшее развитие привело к выходу третьей версии стандарта в июне 2015.

CVSS пытается оценить уязвимость с разных сторон^[1]:

1. Качественная оценка уязвимости, выражаемая через базовые метрики (Base metrics):
   1. Access Vector (AV) показывает каким путём уязвимость может быть внедрена.
   2. Access Complexity (AC) показывает насколько легко или сложно использовать данную уязвимость.
   3. Authentication (Au) оценивает количество аутентификаций, которые атакующий должен произвести прежде чем воспользоваться уязвимостью.
   4. Влияние уязвимости на компьютерную систему (Impact metrics):
      1. Confidentiality (C) описывает влияние на конфиденциальность данных, обрабатываемых системой.
      2. Integrity (I) описывает влияние на целостность данных компьютерной системы.
      3. Availability (A) описывает влияние уязвимости на доступность компьютерной системы. Например атаки, которые влияют на пропускную способность сети или занимающие процессорное время, влияют на доступность системы.
2. Временные метрики (Temporal metrics), которые изменяются с момента обнаружения уязвимости и до момента её исправления:
   1. Exploitability (E) показывает текущее состояние способов эксплуатации уязвимости, в том числе автоматизированных.
   2. Remediation Level (RL) является корректирующим числом, позволяющим смягчать временную оценку по мере того, как становятся доступны исправления для уязвимости.
   3. Report confidence (RC) позволяет измерить уровень уверенности в существовании уязвимости и достоверности её технических данных.
3. Метрики уязвимости, зависящие от программного окружения.
   1. Collateral Damage Potential (CDP) оценивает потенциальный ущерб для компании от данной уязвимости, например потенциальный убыток, физический ущерб оборудованию и т.п.
   2. Target Distribution (TD) оценивает долю уязвимых систем в компьютерной сети.
   3. Impact Subscore Modifier включает в себя корректирующие числа confidentiality (CR), integrity (IR) и availability (AR), позволяющие скорректировать Impact metrics и конечную оценку под конкретные требования безопасности конкретного окружения.

Метрики для расчета берутся из таблиц, в которых приводится их описание, качественная и количественная оценка. Ниже в таблице приведены метрики, введенные со второй версии стандарта^[1].

Оценка Base Score рассчитывается по следующим формулам. Значения для параметров выбираются из таблицы, приведенной выше. Дробные числа следует округлять до первого десятичного разряда, что ниже выражается через функцию roundTo1Decimal.

${\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}}$

${\displaystyle {\textsf {Impact}}=10{,}41\times (1-(1-{\textsf {C}})\times (1-{\textsf {I}})\times (1-{\textsf {A}}))}$

${\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1{,}176,&{\text{otherwise }}\end{cases}}}$

${\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0{,}6\times {\textsf {Impact}})+(0{,}4\times {\textsf {Exploitability}})-1{,}5)\times f({\textsf {Impact}}))}$

Для расчета Temporal Scrore используются следующие формулы.

${\displaystyle {\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})}$

Для расчета Environmental Score используется следующие формулы. AdjustedTemporal рассчитывается по той же формуле, что и TemporalScore, но вместо BaseScore нужно подставить AdjustedImpact.

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10{,}41\times (1-(1-{\textsf {C}}\times {\textsf {CR}})\times (1-{\textsf {I}}\times {\textsf {IR}})\times (1-{\textsf {A}}\times {\textsf {AR}})))}$

${\displaystyle {\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})}$

В 2002 году в серверном приложении Apache была выявлена уязвимость CVE-2002-0392, приводившая к повреждению памяти сервера при фрагментированном кодировании запросов для него. Зная это, злоумышленник может создать успешный эксплойт, способный в одних случаях привести к отказу сервера в обслуживании, а в других — к выполнению произвольного кода с привилегиями серверного приложения.

Используя CVSS метрики для расчета базовой оценки, проблему можно описать так:

• AV равняется N, так как запрос формируется удаленно на прикладном уровне модели OSI.
• AC равняется L, потому что для успешной работы эксплойта достаточно сформировать особый запрос для сервера и никаких особых требований со стороны сервера не требуется.
• Au равняется N, потому что сервер обработает этот запрос без аутентификации клиента.
• Поскольку конечный результат эксплуатации уязвимости зависит от самого запроса, то следует принимать во внимание только самый вероятный случай использования уязвимости. За такой случай можно принять исполнение произвольного кода злоумышленника для извлечения данных из базы данных сервера, например получения данных аутентификации других клиентов. В этом случае параметры C и I следует присвоить значение P (Partial). Также, вероятно злоумышленник будет использовать эксплойт, чтобы вывести сервер из строя, тогда A следует присвоить значение С (Complete). В этом примере мы будем предполагать второй вариант использования, поэтому C и I мы присвоим N (None), а параметру A мы присвоим значение C.

Таким образом, параметры для расчета базовой оценки можно выразить следующей текстовой строкой, на практике называемой вектором: AV:N/AC:L/Au:N/C:N/I:N/A:C

Так как Apache Foundation подтвердил уязвимость для 1.3 и 2.0 версий сервера, то для Temporal Score вектор будет таким: E:F/RL:O/RC:C

Вектор для Environmental Score зависит от того, что для использующей сервер Apache компании важнее и какие у неё мощности. Для данного примера пусть вектор будет таким: CDP:H/TD:H/CR:M/IR:M/AR:H

Подставив количественные значения показателей из таблицы, получим следующие результаты.

${\displaystyle {\textsf {Exploitability}}=20\times 1\times 0{,}71\times 0{,}704=10{,}0}$

${\displaystyle {\textsf {Impact}}=10{,}41\times (1-(1-0)\times (1-0)\times (1-0{,}66))=6{,}9}$

${\displaystyle f(6{,}9)=1{,}176}$

${\displaystyle {\textsf {BaseScore}}=(0{,}6\times 6{,}9+0{,}4\times 10{,}0-1{,}5)\times 1{,}176=7{,}8}$

${\displaystyle {\textsf {TemporalScore}}=7{,}8\times 0{,}95\times 0{,}87\times 1=6{,}4}$

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10{,}41\times (1-(1-0\times 1)\times (1-(1-0\times 1)\times (1-(1-0{,}66\times 1{,}51)))=10}$

${\displaystyle {\textsf {AdjustedTemporal}}=10\times 0{,}95\times 0{,}87\times 1=8{,}3}$

${\displaystyle {\textsf {AdjustedBaseScore}}=(0{,}6\times 10+0{,}4\times 10{,}0-1{,}5)\times 1{,}176=10}$

${\displaystyle {\textsf {EnvironmentalScore}}=(8{,}3+(10-8{,}3)\times 0{,}5)\times 1{,}0=9{,}2}$

Учитывая такие большие оценки для данной уязвимости, мы должны как можно скорее обновить наши серверы Apache, как минимум до версии 2.1.

• The Forum of Incident Response and Security Teams (FIRST) CVSS site

Это заготовка статьи по информационной безопасности (защите информации). Помогите Википедии, дополнив её.