Sårbarhedsscanning – kapitel 2 – CVSS

Hvad betyder forkortelsen CVSS?

  • Hvad er CVSS?
  • Versioner of CVSS calculators?
  • Hvordan definerer man alvorligheden af en sårbarhed?
  • Hvordan beregnes sårbarheds tallet?
  • Hvordan hjælper CVSS i forbindelse med sårbarhedsscanning?

Som beskrevet i mit sidste nyhedsbrev, Sårbarhedsscanning – kapitel 1 – CVE,  udsendt fredag d. 28 oktober, så er der nogle fællesnævnere, der gør at software producenterne er enige om alvorligheden af en sårbarhed?

Hvordan finder man alvorligheden ved en sårbarhed?

Lad os tage udgangspunkt i et tænkt eksempel, hvor vi begge er tekniske it-sikkerhedsfolk. 

  • Jeg finder en sårbarhed i en applikation, og jeg finder også ud af, hvad der kræves for at udnytte sårbarheden:
    • Krav om lokal adgang
    • Ingen krav om administrative rettigheder
    • Ikke en svær sårbarhed at udnytte
    • Jeg vurdere denne sårbarhed som kritisk.
  • Du finder den samme sårbarhed.
    • Men du mener ikke, den er kritisk, da den kræver lokal adgang, hvor personen sidder fysisk foran enheden. 
    • Så vi er ikke enige om alvorligheden. 

Der findes en sårbarheds regnemaskine.

CVSS har udarbejdet et framework som en åben standard, der forsøger at beregne en sårbarheds alvorlighed. Værdien er beregnet baseret på en matrix. Denne tager hensyn til, hvor nemt der er det at udnytte sårbarheden og konsekvensen deraf. Værdien går fra 0 – 10, hvor 10 er det mest alvorlige. 

CVSS – Framework Common Vulnerability Scoring System.

CVSS – framework historie:

  • 2005 blev CVSS introduceret
  • 2007 CVVS – V2.0
  • 2015 CVVS – V3.0 (det mest brugte i dag)
  • 2019 CVVS V3.1

Så hvordan beregnes en sårbarheds alvorlighed?

  • Lokal adgang 
  • Ingen krav om privilegier
  • Ingen bruger interaktion
  • Et kendt exploit (angrebs kode)
  • Der findes ikke nogen “fix”
  • Software producenten har bekræftet sårbarheden
  • Fortrolighed, integritet og tilgængelighed er alle sat til høj 

Du kan selv prøve regnemaskinen her -> NVD – CVSS v3 Calculator

Mere info: