01
引言
02
CVSS评分依据
2.1 CVSS评分指标
1、基础评价(Base Metric Group):
评估漏洞本身固有的一些特点及这些特点可能造成的影响。基础评价指的是一个漏洞的内在特征,该特征随时间和用户环境保持不变,基础评价是CVSS评分里最重要的一个指标,我们一般说的CVSS评分都是指漏洞的基础评价得分。
2、生命周期评价(Temporal Metric Group):
此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法或者漏洞报告的可信度等。生命周期评价几乎肯定会随着时间的推移而改变。
3、环境评价(Environmental Metric Group):
这些指标使分析师能够根据受影响的IT资产对用户组织的重要性定制CVSS评分,并根据组织基础结构中组件的情况的分配分值。
2.2 基础评价对比
基础评价得分=10*攻击途径*攻击复杂度*认证*((机密性*机密性权重)+(完整性*完整性权重)+(可用性*可用性权重))
基础评价得分=可利用性评分+影响度评分
unchanged(U) 固定:
被利用的漏洞只能影响由同一当局管理的资源。在这种情况下,脆弱组件和受影响组件是同一个。
changed(C) 变化:
被利用的漏洞可能会影响超出脆弱组件预期授权权限的资源。在这种情况下,脆弱组件和受影响组件并非同一个。
可利用性评分=8.22*攻击途径*攻击复杂度*权限要求*用户交互
当作用域=固定:影响度分值=6.42*ISCbase
当作用域=变化:影响度分值=7.52*(ISCbase−0.029)−3.25*(ISCbase-0.02)^15
其中:ISCbase=1-[(1-机密性影响)×(1-完整性影响)×(1-可用性影响)]
2.3 生命周期评价对比
生命周期评价得分=10*利用代码成熟度*补丁完善水平*报告可信度
2.4 环境评价对比
环境评价得分=[生命周期评价+(10-生命周期评价)*危害影响程度]*目标分布范围
当影响度<=0时,环境评价分值为0
当影响度>0 且 “无修正”:环境评价分值为
Roundup(Roundup(Min[(M.影响度分值+M.可利用度分值),10])*利用代码成熟度*补丁完善水平*报告可信度)
当影响度>0 且 “有修正”:环境评价分值为
Roundup(Roundup(Min[1.08*(M.影响度分值+M.可利用度分值),10])*利用代码成熟度*补丁完善水平*报告可信度)
其中:
1、Roundup为保留小数点后一位并向上取整(小数点后第二位大于零则进一)
2、Min为比较前后两值,取小者
3、M. 代表被修正后的分数,若对应项无修改,则为原值。
4、影响力修正得分公式为:
作用域为固定:影响度修正分=6.42*ISCModified
作用域为变化:影响度修正分=7.52*(ISCModified−0.029)−3.25*(ISCModified-0.02)^15
其中:ISCModified=Min(1-[(1-M.机密性影响*M.机密性需求)*(1-M.完整性影响*M.完整性需求)*(1-M.可用性影响*M.可用性需求)],0.915)
5、可利用度修正得分公式为:
M.可利用度分值=8.22*M.攻击途径*M.攻击复杂度*M.权限需求*M.用户交互
2.5 漏洞等级
03
评分案例分析
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
参考2.2小节里CVSS3.1的评分标准,这里:
AV(Attack Vector)代表攻击途径
AC(Attack Complexity)代表攻击复杂度
PR(Privileges Required)代表权限要求
UI(User Interaction)代表用户交互
S(Scope)代表作用域
C(Confidentiality Impact)代表机密性影响度
I(Integrity Impact)代表完整性影响度
A(Availability Impact)代表可用性影响度
Log4j2:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Spring:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
04
CVSS满分漏洞盘点
原文始发于微信公众号(盛邦安全WebRAY):烽火狼烟丨CVSS评分策略分析及近年来满分漏洞盘点
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论