|
|
2. 基础评价
2.1. 可利用性指标
如前所述,可利用度评价反映了脆弱事物的特征,我们将其正式称为脆弱组件。因此,应根据脆弱组件对下面列出的每个利用性指标进行评分,并反映导致成功攻击的漏洞属性。
对基础评价进行评分时,应假定攻击者对目标系统的弱点有深入的了解,包括常规配置和默认防御机制(例如内置防火墙、速率限制、流量监管)。例如利用导致可重复的确定性成功的漏洞仍应被视为“攻击复杂度”的“低”值,这与攻击者的知识或能力无关。此外,特定于目标的攻击缓解措施(例如自定义防火墙筛选器、访问列表)应反映在环境评价评分组中。
特定配置不应影响任何影响 CVSS 基础评价的属性,即如果攻击成功需要特定配置,则应对脆弱组件进行评分,假设它位于该配置中。
2.1.1. 攻击向量
此指标反映了可能利用漏洞的上下文。攻击者越远(逻辑上和物理上)利用脆弱组件,此指标值(以及因此而来的基础评价)将越大。假设可从网络中利用的漏洞的潜在攻击者数量大于可能利用需要对设备进行物理访问的漏洞的潜在攻击者的数量,则需要更高的基础评价分值。表 1 中提供了可能值的列表。
表1:攻击向量
| 指标值 | 描述 | | 网络(N) 攻击 | 脆弱组件绑定到网络栈,并且可能的攻击者集超出了下面列出的其他选项,直到并包括整个Internet。此类漏洞通常称为“远程漏洞”,可以将其视为在协议级别可利用一个或多个网络跃点(例如跨一个或多个路由器)的攻击。网络攻击的一个例子是攻击者通过广域网发送特制的TCP数据包(例如CVE-2004-0230)来造成拒绝服务(DoS)。 | | 相邻(A)攻击 | 脆弱组件绑定到网络栈,但攻击在协议级别仅限于逻辑上相邻的拓扑。这可能意味着必须从同一共享物理(例如蓝牙或IEEE 802.11)或逻辑(例如本地IP子网)网络发起攻击,或者从安全或其他有限的管理域(例如 MPLS,安全VPN到管理网络区域)内发起攻击。相邻攻击的一个例子是ARP(IPv4)或邻居发现(IPv6),导致本地LAN段上的拒绝服务(例如CVE-2013-6014)。 | | 本地(L) 攻击 | 脆弱组件不绑定到网络栈,攻击者的路径是通过读/写/执行功能实现的: 攻击者通过本地(例如键盘、控制台)或远程(例如SSH)访问目标系统来利用此漏洞; 或攻击者依靠其他人的用户交互来执行利用此漏洞所需的操作(例如使用社交工程技术诱使合法用户打开恶意文档)。 | | 物理(P) 攻击 | 攻击要求攻击者物理接触或操纵脆弱组件。物理交互可能是短暂的(例如邪恶的女仆攻击)或持续的。此类攻击的一个示例是冷启动攻击,其中攻击者在物理访问目标系统后获得对磁盘加密的访问权限。其他示例包括通过火线/USB 直接内存访问(DMA)进行的外围设备攻击。 |
评分指南:在“网络攻击”和“相邻攻击”之间做出决定时,如果攻击可以通过广域网或从逻辑上相邻的管理网络域之外发起,请使用“网络”。即使攻击者需要在同一 Intranet 上才能利用脆弱的系统(例如攻击者只能从企业网络内部利用漏洞),也应使用网络。
2.1.2. 攻击复杂度
这项衡量指标描述了攻击者无法控制的情况,这些条件必须存在才能利用此漏洞。如下所述,此类条件可能需要收集有关目标或计算异常的更多信息。重要的是,此指标的评估排除了可利用漏洞的用户交互的任何要求(例如条件在“用户交互”指标中捕获)。如果攻击成功需要特定配置,则应对基础评价进行评分,假设脆弱组件位于该配置中。对于最不复杂的攻击,基础评价最高。表 2 中列出了可能的值。
表 2:攻击复杂度
| 指标值 | 描述 | | 低(L) | 不存在专门的准入条件或情有可原的情况。攻击者在攻击脆弱组件时可能会获得可重复的成功。 | | 高(H) | 成功的攻击取决于攻击者无法控制的情况。也就是说,成功的攻击不能随意完成,而是需要攻击者投入一些可衡量的精力来准备或执行脆弱组件,然后才能预期成功的攻击。 例如成功的攻击可能取决于攻击者克服了以下条件: 攻击者必须收集有关脆弱的目标/组件所在的环境的知识。例如需要收集有关目标配置设置、序列号或共享机密的详细信息。 攻击者必须准备目标环境以提高利用的可靠性。例如重复利用漏洞来赢得 竞赛 条件,或克服高级漏洞利用缓解技术。 攻击者必须将自己注入目标与受害者请求的资源之间的逻辑网络路径中,以便读取和/或修改网络通信(例如中间人攻击)。 |
如第 2.1 节所述,对脆弱组件的详细了解不在攻击复杂度的范围之内。
2.1.3. 所需权限
指标描述了攻击者在成功利用此漏洞之前必须拥有的权限级别。如果不需要任何权限,则基础评价分值最大。表 3 中提供了可能分值的列表。
表 3:重新获得的权限
| 指标值 | 描述 | | 无(N) | 攻击者在攻击之前是未经授权的,因此不需要访问脆弱系统的设置或文件即可执行攻击。 | | 低(L) | 攻击者需要提供基本用户功能的权限,这些功能通常仅影响用户拥有的设置和文件。或者,具有低权限的攻击者只能访问非敏感资源。 | | 高(H) | 攻击者需要对脆弱组件提供重要(例如管理)控制的权限,从而允许访问组件范围的设置和文件。 |
评分指南:对于硬编码的凭据漏洞或需要社交工程的漏洞(例如反射式跨站点脚本、跨站点请求伪造或 PDF 阅读器中的文件解析漏洞),所需的权限通常为“无”。
2.1.4. 用户交互
此指标捕获对除攻击者以外的人类用户参与成功破坏脆弱组件的要求。此指标确定是否可以根据攻击者的意愿利用漏洞,或者是否必须由单独的用户(或用户发起的进程)以某种方式参与。当不需要用户交互时,基础评价最高。表 4 中列出了可能的值。
表 4:用户输入
| 指标值 | 描述 | | 无(N) | 脆弱的系统无需任何用户交互即可被利用。 | | 必需(R) | 成功利用此漏洞需要用户采取一些操作,然后才能利用此漏洞。例如只有在系统管理员安装应用程序期间,才可能成功利用此漏洞。 |
2.2. 范围
范围Scope 指标捕获一个脆弱组件中的漏洞是否会影响超出其安全范围的组件中的资源。
形式上,安全机构是一种机制(例如应用程序,操作系统,固件,沙盒环境),它根据某些主体/参与者(例如人类用户,进程)如何以受控方式访问某些受限制的对象/资源(例如文件,CPU,内存)来定义和实施访问控制。受单一安全机构管辖的所有主体和客体均被视为属于一个安全范围。如果脆弱组件中的漏洞可以影响与脆弱组件处于不同安全作用域中的组件,则会发生作用域更改。直观地说,每当漏洞的影响违反安全/信任边界并影响脆弱组件所在的安全范围之外的组件时,就会发生范围更改。
组件的安全作用域包括仅向该组件提供功能的其他组件,即使这些其他组件具有自己的安全权限也是如此。例如仅由一个应用程序使用的数据库被视为该应用程序安全作用域的一部分,即使该数据库具有自己的安全权限,例如基于数据库用户和关联的数据库特权控制对数据库记录的访问的机制。
基础评价在范围更改时是最大的。表 5 中列出了可能的值。
表 5:范围
| 指标值 | 描述 | | 未更改(U) | 被利用的漏洞只能影响由同一安全机构管理的资源。在这种情况下,脆弱组件和受影响组件要么是相同的,要么两者由同一安全机构管理。 | | 已更改(C) | 漏洞可能会影响超出由脆弱组件的安全机构管理的安全范围的资源。在这种情况下,脆弱组件和受影响组件是不同的,并由不同的安全机构管理。 |
2.3影响指标
影响指标捕获成功利用的漏洞对遭受与攻击最直接和最可预测的最严重结果的组件的影响。分析师应将影响限制在他们确信攻击者能够实现的合理、最终的外围。
在对漏洞的影响指标进行评分时,只应考虑成功利用漏洞导致的访问权限、获得的权限或增加的其他负面结果。对于考试,请考虑需要只读权限才能利用此漏洞的漏洞。成功利用此漏洞后,攻击者将保持相同级别的读取访问权限,并获得写入访问权限。在这种情况下,只应对“集成影响”指标进行评分,并将“机密性”和“可用性影响”指标设置为“无”。
请注意,在对影响的增量变化进行评分时,应使用最终影响。例如如果攻击者从部分访问严格信息(机密性低)开始,并且成功利用漏洞导致机密性完全丧失(机密性高),则生成的 CVSS 基础分值应引用“最终游戏”影响指标值(“机密性高”)。
如果范围更改尚未发生,则“影响”指标应反映对脆弱组件的机密性、完整性和可用性影响。但是,如果发生了范围更改,则“影响”指标应反映对脆弱组件或受影响组件(以遭受最严重后果者为准)的机密性、完整性和可用性影响。
2.3.1. 机密性(C)
此衡量指标衡量由于成功利用漏洞而对软件组件管理的信息资源的机密性的影响。机密性是指将信息访问和披露限制为仅授权用户,以及防止未经授权的用户访问或披露给未经授权的用户。当受影响组件的损失最高时,基础评价最大。表 6 中列出了可能的值。
表 6:机密性
| 指标值 | 描述 | | 高(H) | 完全失去机密性,导致受影响组件中的所有资源都泄露给攻击者。或者,仅获取某些受限制的信息,但披露的信息会直接对我们产生影响。例如攻击者窃取管理员的密码或 Web 服务器的私有加密密钥。 | | 低(L) | 有一些机密性的损失。可以获得对某些受限制的信息的访问,但攻击者无法控制获取的信息,或者损失的数量或种类是有限的。信息泄露不会对受影响组件造成直接、严重的损失。 | | 无(N) | 受影响组件不会丢失机密性。 |
2.3.2. 完整性(I)
此指标衡量成功利用的漏洞对完整性的影响。诚信是指信息的可信度和真实性。当对受影响组件的影响最高时,基础评价最大。p 可视值的列表如表 7 所示。
表 7:完整性
| 指标值 | 描述 | | 高(H) | 完全丧失完整性,或完全失去保护。例如攻击者能够修改受受影响组件保护的任何/所有文件。或者,只能修改某些文件,但恶意修改会对受影响组件造成直接的严重后果。 | | 低(L) | 修改数据是可能的,但攻击者无法控制修改的结果,或者修改的数量是有限的。数据修改不会对受影响组件产生直接、严重的影响。 | | 无(N) | 此处的 T 不会丢失受影响组件内的完整性。 |
2.3.3. 可用性(A)
此衡量指标衡量成功利用的漏洞对受影响组件的可用性的影响。虽然机密性和完整性影响指标适用于受影响组件使用的数据(例如信息、文件)的机密性或完整性的丢失,但此指标是指受影响组件本身(如网络服务,数据库,电子邮件)的可用性损失。由于可用性是指信息资源的可访问性,因此消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。当对受影响组件的影响最高时,基础评价最大。表 8 中提供了可能值的列表。
表 8:可用性
| 指标值 | 描述 | | 高(H) | 完全丧失可用性,导致攻击者能够完全拒绝对受影响组件中资源的访问;这种损失要么是持续的(持续提供攻击),要么是持久的(即使在攻击完成后,这种情况仍然存在)。或者,攻击者有能力拒绝某些可用性,但可用性的丢失会对受影响组件造成直接的严重后果(例如攻击者无法中断现有连接,但可以阻止新连接;攻击者可以反复利用漏洞,在每次成功攻击的情况下,仅泄漏少量内存,但是,反复利用会导致服务完全不可用)。 | | 低(L) | 性能降低或资源可用性中断。即使可以重复利用此漏洞,攻击者也无法完全拒绝向合法用户提供服务。受影响组件中的资源要么始终部分可用,要么仅在部分时间完全可用,但总体而言,受影响组件没有直接的严重后果。 | | 无(N) | 对受影响组件中的可用性没有影响。 |
资料来源:https://www.first.org/cvss/v3.1/specification-document |
|
发 帖
发表于 2022-11-30 17:57:25