安全服務——CVE中CVSS相關指標介紹

CVSS相關指標

目錄

• CVSS相關指標
  • 一、CVSS是什么
  • 二、指標內容
    • 1、Base指標
      • 1.1、Access Vector (AV)——訪問途徑
      • 1.2、Access Complexity (AC)——訪問復雜性
      • 1.3、Authentication (Au)——身份認證
      • 1.4、Confidentiality Impact (C)——機密性影響
      • 1.5、Integrity Impact (I)——完整度影響
      • 1.6、Availability Impact (A)——可用性影響
    • 2、Temporal指標
      • 2.1、Exploitability (E)——可利用性
      • 2.2、Remediation Level (RL)——修復水平
      • 2.3、Report Confidence (RC)——可信度報告
    • 3、Environmental指標
      • 3.1、Collateral Damage Potential (CDP)——附帶損害潛力
      • 3.2、Target Distribution (TD)——目標分配
      • 3.3、Security Requirements (CR, IR, AR)——安全要求
  • 三、Base, Temporal, Environmental Vectors
  • 四、CVSS第2版 參考鏈接

一、CVSS是什么

CVSS——Common Vulnerability Scoring System（通用漏洞評估系統）

CVSS由三個指標組組成：Base指標，Temporal指標，Environmental指標。其中每個由一組指標組成。

The Common Vulnerability Scoring System (CVSS) provides an open framework for communicating the characteristics and impacts of IT vulnerabilities. CVSS consists of 3 groups: Base, Temporal and Environmental. Each group produces a numeric score ranging from 0 to 10, and a Vector, a compressed textual representation that reflects the values used to derive the score. The Base group represents the intrinsic qualities of a vulnerability. The Temporal group reflects the characteristics of a vulnerability that change over time. The Environmental group represents the characteristics of a vulnerability that are unique to any user's environment. CVSS enables IT managers, vulnerability bulletin providers, security vendors, application vendors and researchers to all benefit by adopting this common language of scoring IT vulnerabilities.

通用漏洞評估系統(CVSS)提供了一個開放的框架,用於通信的特點和影響它的漏洞。 CVSS由部分組成：Base，Temporal 和 Environmental。 每組生成一個從0到10的數字分數，以及一個向量，一個反映用於導出分數的值的壓縮文本表示。Base表示漏洞的內在屬性。Temporal反映了脆弱性隨時間變化的特征。Environmental表示任何用戶環境所特有的漏洞特征。CVSS使IT管理者、漏洞公告提供商、安全廠商、應用程序廠商和研究人員都能通過采用這種通用的IT漏洞評分語言而受益。

二、指標內容

1、Base指標

1.1、Access Vector (AV)——訪問途徑

這個指標反映了如何利用該漏洞。這個指標的可能值是表中列出。越多的遠程攻擊來攻擊主機，脆弱性越大得分。

指標值	描述
Local (L)	只能通過本地訪問才能利用的漏洞要求攻擊者具有對易受攻擊的系統或本地（shell）帳戶的物理訪問權。本地可利用漏洞的示例是外圍攻擊（例如Firewire / USB DMA攻擊）和本地特權升級（例如sudo）。
Adjacent Network (A)	可以利用鄰近網絡訪問漏洞要求攻擊者可以訪問易受攻擊軟件的廣播域或沖突域。本地網絡的示例包括本地IP子網，藍牙，IEEE 802.11和本地以太網網段。
Network (N)	網絡訪問可利用的漏洞意味着易受攻擊的軟件已綁定到網絡堆棧，並且攻擊者不需要本地網絡訪問或本地訪問。這種漏洞通常被稱為“可遠程利用”。網絡攻擊的一個示例是RPC緩沖區溢出。

1.2、Access Complexity (AC)——訪問復雜性

該指標衡量一旦攻擊者獲得對目標系統的訪問權，利用此漏洞所需的攻擊的復雜性。例如，考慮Internet服務中的緩沖區溢出：找到目標系統后，攻擊者可以隨意發起攻擊。

指標值	描述
High (H)	存在專門的訪問條件
Medium (M)	訪問條件較為特殊
Low (L)	不存在專門的訪問條件或可減輕的情況

1.3、Authentication (Au)——身份認證

該指標衡量攻擊者必須進行身份驗證才能利用漏洞的次數。該指標不衡量身份驗證過程的強度或復雜性，僅要求攻擊者必須先提供憑據才能進行利用。所需的身份驗證實例越少，漏洞得分越高。

指標值	描述
Multiple (M)	利用此漏洞需要攻擊者進行兩次或兩次以上的身份驗證，即使每次使用相同的憑據也是如此。例如：攻擊者除了提供訪問該系統上托管的應用程序的憑據之外，還向操作系統進行身份驗證。
Single (S)	要求攻擊者登錄到系統中（例如，通過命令行或通過桌面會話或Web界面）
None (N)	利用此漏洞不需要身份驗證

1.4、Confidentiality Impact (C)——機密性影響

該指標衡量成功被利用的漏洞對機密性的影響。機密性是指將信息訪問和披露僅限於授權用戶，以及防止未授權用戶訪問或披露信息。增加的機密性影響會增加漏洞分數。

指標值	描述
None (N)	不會影響系統的機密性
Partial (P)	有大量的信息披露。可以訪問某些系統文件，但攻擊者無法控制所獲得的內容，否則損失的范圍受到限制。例如：一個僅泄露數據庫中某些表的漏洞。
Complete (C)	全部信息公開，導致所有系統文件都被公開。攻擊者能夠讀取系統的所有數據（內存，文件等）

1.5、Integrity Impact (I)——完整度影響

該指標衡量成功被利用的漏洞對完整性的影響。完整性是指信息的可信賴性和保證的准確性。完整性影響越大漏洞分數越高。

Increased integrity impact increases the vulnerability score.

指標值	描述
None (N)	不會影響系統的完整性
Partial (P)	可以修改某些系統文件或信息，但是攻擊者無法控制可以修改的內容，或者攻擊者可以影響的范圍是有限的。例如，系統或應用程序文件可能會被覆蓋或修改，但攻擊者無法控制受影響的文件，或者攻擊者只能在有限的上下文或范圍內修改文件。
Complete (C)	完全損害了系統完整性。完全失去了系統保護，導致整個系統受到損害。攻擊者能夠修改目標系統上的任何文件。

1.6、Availability Impact (A)——可用性影響

此度量標准衡量成功利用的漏洞對可用性的影響。可用性是指信息資源的可訪問性。消耗網絡帶寬，處理器周期或磁盤空間的攻擊都會影響系統的可用性。可用性影響越大，漏洞分數越高。

指標值	描述
None (N)	不會影響系統的可用性
Partial (P)	性能降低或資源可用性中斷。例如：基於網絡的洪水攻擊，它允許有限數量的成功連接到Internet服務。
Complete (C)	完全關閉了受影響的資源。攻擊者可以使資源完全不可用。

2、Temporal指標

2.1、Exploitability (E)——可利用性

該指標衡量漏洞利用技術或代碼可用性的當前狀態。易於使用的漏洞利用代碼的公共可用性通過將不熟練的攻擊者包括在內，從而增加了潛在的攻擊者數量，從而增加了漏洞的嚴重性。

指標值	描述
Unproven (U)	沒有可利用用代碼，或者漏洞利用完全是理論上的。
Proof-of-Concept (POC)	提供了概念驗證漏洞利用代碼或對大多數系統不切實際的攻擊演示。該代碼或技術並非在所有情況下都起作用，並且可能需要熟練的攻擊者進行實質性修改。
Functional (F)	提供功能漏洞利用代碼。該代碼在存在漏洞的大多數情況下均有效。
High (H)	該漏洞可以通過功能性移動自治代碼來利用，或者不需要利用（手動觸發器），並且可以廣泛獲取詳細信息。該代碼在任何情況下都有效，或者正在通過移動自主代理（例如worm或病毒）主動傳遞。
Not Defined (ND)	將此值分配給指標將不會影響得分。只是跳過此指標的信號。

2.2、Remediation Level (RL)——修復水平

漏洞的補救級別是確定優先級的重要因素。最初發布時，未修補典型漏洞。解決方法或修補程序可能會提供臨時修復，直到發布正式補丁或升級為止。這些各個階段中的每個階段都向下調整得分，反映出隨着補救措施的最終完成，緊迫性的降低。補丁的正式性和永久性越低，漏洞得分越高。

指標值	描述
Official Fix (OF)	有完整的供應商解決方案。供應商已經發布了官方補丁，或者可以進行升級。
Temporary Fix (TF)	有一個官方的但臨時的修復程序。這包括供應商發出臨時修補程序，工具或解決方法的實例。
Workaround (W)	有一個非官方的非供應商解決方案。在某些情況下，受影響技術的用戶將創建自己的補丁程序，或提供解決或緩解漏洞的步驟。
Unavailable (U	沒有可用的解決方案或無法應用。
Not Defined (ND)	將此值分配給指標將不會影響得分。只是跳過此指標的信號。

2.3、Report Confidence (RC)——可信度報告

該指標衡量對漏洞存在可信度以及已知技術細節的可信度。有時，僅公開存在漏洞，而沒有具體細節。以后可以確認該漏洞，然后通過受影響技術的作者或賣方的確認予以確認。當已知某個漏洞確實存在時，該漏洞的緊迫性就會更高。此度量標准還建議潛在的攻擊者可以使用的技術知識水平。表9中列出了此度量標准的可能值。供應商或其他信譽良好的來源驗證的漏洞越多，得分越高。

指標值	描述
Unconfirmed (UC)	有一個未經確認的來源，或者可能有多個沖突的報告。報告的有效性幾乎沒有可信度。例如：只是來自地下黑客的謠言。
Uncorroborated (UR)	有多種非官方來源，可能包括獨立的安全公司或研究組織。在這一點上，可能會有相互矛盾的技術細節或一些纏綿的歧義。
Confirmed (C)	該漏洞已由受影響的技術的供應商或作者確認。當從外部事件（例如發布功能或概念證明漏洞利用代碼或廣泛利用）中確認漏洞的存在時，也可以確認該漏洞。
Not Defined (ND)	將此值分配給指標將不會影響得分。只是跳過此指標的信號。

3、Environmental指標

3.1、Collateral Damage Potential (CDP)——附帶損害潛力

該指標衡量由於財產或設備損壞或失竊而造成生命或財產損失的可能性。還可以衡量生產力或收入的經濟損失。自然潛在損害越大，脆弱性得分越高。

指標值	描述
None (N)	沒有生命，財產，生產力或收入損失的可能性
Low (L)	成功利用此漏洞可能會導致輕微的財產或財產損失，或者，可能會給組織帶來輕微的收入或生產力損失。
Low-Medium (LM)	成功利用此漏洞可能導致中等程度的財產或財產損失。或者，可能會給組織帶來一定程度的收入或生產力損失。
Medium-High (MH)	成功利用此漏洞可能會導致重大的物理或財產損壞或損失。或者，可能會嚴重損失收入或生產力。
High (H)	成功利用此漏洞可能會導致災難性的物理或財產損失。否則，收入或生產力可能會遭受災難性的損失。
Not Defined (ND)	將此值分配給指標將不會影響得分。只是跳過此指標的信號。

3.2、Target Distribution (TD)——目標分配

該指標衡量易受攻擊系統的比例。它旨在作為一種特定於環境的指標，用於估計可能受此漏洞影響的系統的百分比。易受攻擊的系統所占的比例越大，得分就越高。

指標值	描述
None (N)	沒有目標系統，或者目標是如此專業化，以至於它們僅存在於實驗室環境中。實際上，有0％的環境處於危險之中。
Low (L)	目標存在於環境內部，但規模很小。整個環境中有1％-25％處於危險之中。
Medium (M)	目標存在於環境內部，但規模中等。整個環境中有26％-75％處於危險之中。
High (H)	目標在環境內部存在的規模很大。總體環境的76％-100％被認為處於危險之中。
Not Defined (ND)	將此值分配給指標將不會影響得分。只是跳過此指標的信號。

3.3、Security Requirements (CR, IR, AR)——安全要求

這些指標使分析人員可以根據受影響的IT資產對用戶組織的重要性（以機密性，完整性和可用性衡量）來定制CVSS分數，也就是說，如果IT資產支持其可用性，相對於機密性和完整性為最重要，分析師可以為可用性分配更大的價值。每個安全要求都有三個可能的值：低，中或高。

指標值	描述
Low (L)	[機密性/完整性/可用性]的損失可能只會對組織或與組織關聯的個人（例如，員工，客戶）產生有限的負面影響。
Medium (M)	失去[機密性/完整性/可用性]可能會對組織或與組織關聯的個人（例如，員工，客戶）產生嚴重的不利影響。
High (H)	失去[機密性/完整性/可用性]可能會對組織或與組織關聯的個人（例如員工，客戶）造成災難性的不利影響。
Not Defined (ND)	將此值分配給指標將不會影響得分。只是跳過此指標的信號。

三、Base, Temporal, Environmental Vectors

向量中的每個度量均由縮寫的度量名稱組成，后跟“：”（冒號），然后是縮寫的度量值。該向量使用“ /”（斜線）字符以預定順序列出這些度量，以分隔度量。如果不使用時間或環境度量，則將其賦值為“ ND”（未定義）。

指標	描述
Base	AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]
Temporal	E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND]
Environmental	CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]

四、CVSS第2版 參考鏈接

https://www.first.org/cvss/v2/guide

https://www.cnblogs.com/caya-yuan/archive/2019/04/15/10709623.html