Всем привет! В эфире команда Cyber Analytics Positive Technologies. В компании мы занимаемся разработкой методологии результативной кибербезопасности и подготовкой консалтинговых отчетов по проектам, связанным с проведением тестирований на проникновение и анализом защищенности. Мы сделали обзор новой версии стандарта для оценки степени опасности уязвимостей Common Vulnerability Scoring System (CVSS). Под катом расскажем о некоторых нововведениях версии 4.0 (а их немало!) и сравним ее с предыдущей.
CVSS — открытый стандарт, разработанный National Infrastructure Advisory Council, NIAC</p>" data-abbr="Национальным консультативным советом по инфраструктуре США ">Национальным консультативным советом по инфраструктуре США . Он используется в каждой организации, где есть процесс управления уязвимостями, благодаря которому, в свою очередь, обеспечивается результативная кибербезопасность. Именно поэтому необходимо, чтобы специалисты центра противодействия киберугрозам могли рассчитать уровень опасности уязвимостей.
Сравнение версий CVSS 3.1 и CVSS 4.0
В новой версии стандарта CVSS изменилась номенклатура. В отличие от предыдущей, в которой было три группы метрик, новая версия может похвастаться аж четырьмя: базовых (CVSS-B), угроз (CVSS-T), окружения (CVSS-E) и дополнительных.
Группа базовых метрик (CVSS-B) представляет собой внутренние характеристики уязвимости, которые постоянны во времени и в разных пользовательских средах. Она состоит из двух наборов показателей: показатели возможности эксплуатации и показатели воздействия. Показатели возможности эксплуатации отражают простоту и технические средства, с помощью которых можно проэксплуатировать уязвимость. Показатели воздействия отражают прямые последствия успешного эксплойта для уязвимой системы или для других систем, взаимодействующих с уязвимой.
Важно упомянуть и про возможность измерения воздействия уязвимости на другие системы. За это отвечала метрика Scope, или «Область воздействия», которая была ключевым нововведением в CVSS v3.0, но вызывала очень много споров. В CVSS v4.0 разработчики стандарта решили эту проблему следующим образом: существующие метрики определения влияния стали отвечать только за уязвимую систему, а в случае изменения области воздействия в дело вступает новая подгруппа метрик, отвечающая за влияние на последующие системы.
Метрики угрозы (CVSS-T), которые ранее были известны как временные метрики, в новой версии стандарта приобрели несколько другое назначение. Теперь они напрямую отражают возможность эксплуатации уязвимости (например, подтверждение того, что уязвимость ранее не эксплуатировалась и что в общем доступе нет эксплойтов или инструкций ее эксплуатации) без учета информации о существовании уязвимости и наличия ее исправления. При этом значения, определенные в этой группе метрик, все так же могут меняться со временем.
Метрики окружения (CVSS-E) представляют собой характеристики уязвимости, которые уникальны для конкретной среды функционирования. Они позволяют формировать итоговую оценку в зависимости от важности затронутого ИТ-актива, измеряемой с точки зрения безопасности, конфиденциальности, целостности и доступности. Кроме того, в данной группе присутствуют модифицированные эквиваленты базовых метрик. Им присваиваются значения в зависимости от размещения системы в инфраструктуре организации и функционирующих мер защиты информации.
Одно из самых крупных нововведений — это группа дополнительных показателей, которые позволяют описать контекст уязвимости, а также описать и измерить ее дополнительные внешние атрибуты. Все метрики в пределах этой группы не имеют никакого влияния на итоговую оценку CVSS. Они просто передают дополнительные внешние характеристики самой уязвимости и могут использоваться специалистами по информационной безопасности.
Примеры расчета уровня опасности уязвимостей
Вероятно, самый животрепещущий вопрос — как изменилась оценка уязвимостей с приходом новой, четвертой версии стандарта CVSS? Чтобы ответить, необходимо провести пробные расчеты опасности уязвимостей по версиям 3.1 и 4.0 и наглядно проиллюстрировать, какая разница будет между двумя оценками. В этой статье приведем пару примеров. С остальными можно ознакомиться в полной версии анализа.
Удаленное выполнение кода в «1С-Битрикс»
В качестве одного из подопытных возьмем уязвимость в одном из самых распространенных ПО в России. Уязвимость в программном продукте «1С-Битрикс» позволяет злоумышленнику, действующему удаленно, выполнить произвольный код в операционной системе уязвимого узла. Она была обнаружена в 2023 году, имеет идентификатор BDU:2023-05857.
По CVSS версии 3.1 уязвимость оценена в 9 баллов и имеет следующую векторную строку: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H.
По CVSS версии 4.0 эта уязвимость оценена в 7,1 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:H.
Итоговая сравнительная таблица уязвимости BDU:2023-05857:
ВЕРСИЯ СТАНДАРТА | ОЦЕНКА ОПАСНОСТИ | ВЕКТОРНАЯ СТРОКА |
CVSS 3.1 | 9,0 |
|
CVSS 4.0 | 7,1 |
|
Мы видим сильное уменьшение оценки — на 1,9 балла. Такое изменение связано с тем, что в новой версии стандарта влияние на последующие системы оценивается ниже, чем влияние на уязвимую систему.
Использование словарных паролей
В качестве следующего примера посчитаем степень опасности для уязвимостей конфигурации, связанных с использованием словарных паролей в системах, доступных из внешних сетей. Этот пример интересен тем, что он затрагивает измененные метрики «Сложность атаки» и «Требования к атаке», в связи с чем оценка, полученная по CVSS версии 4.0, может сильно отличаться от оценки, полученной по CVSS версии 3.1.
По CVSS версии 3.1, если словарный пароль подобран для учетной записи, не имеющей никаких привилегий в системе, оценка составит 5,6 балла и будет иметь следующую векторную строку: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L. Если учетная запись имеет привилегии в системе, влияние на уязвимую систему резко возрастает, и оценка уязвимости составит 8,1 балла, а векторная строка примет следующий вид: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H.
По CVSS версии 4.0 для учетной записи с низкими привилегиями уязвимость оценивается в 6,9 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N.
Для учетной записи с высокими привилегиями оценка принимает значение 9,3 балла, а векторная строка — следующий вид: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Итоговая сравнительная таблица уязвимостей конфигурации, связанных с использованием словарных паролей в системах, доступных из внешних сетей:
ВЕРСИЯ СТАНДАРТА | ОЦЕНКА ОПАСНОСТИ | ВЕКТОРНАЯ СТРОКА |
CVSS 3.1 для учетной записи с низкими привилегиями | 5,6 |
|
CVSS 3.1 для учетной записи с высокими привилегиями | 8,1 |
|
CVSS 4.0 для учетной записи с низкими привилегиями | 6,9 |
|
CVSS 4.0 для учетной записи с высокими привилегиями | 9,3 |
|
Оценка изменилась на 1,2 балла для учетных записей с высокими привилегиями и на 1,3 балла для учетных записей с низкими привилегиями. Это связано с тем, что новые метрики «Сложность атаки» и «Требования к атаке» в CVSS v4.0 не учитывают необходимость проведения разведки для получения входных данных для эксплуатации подобной уязвимости, в связи с чем сложность эксплуатации таких уязвимостей ниже, а уровень опасности выше.
В полной версии исследования мы представили эти примеры полностью, а также продемонстрировали аналогичную разницу для следующих уязвимостей:
Уязвимость, приводящая к удаленному выполнению кода в SICAM PAS
Удаленное выполнение кода в Microsoft Exchange
Локальное повышение привилегий в системах Linux
Уязвимость протокола NTLM, используемая для атаки PetitPotam
На основании пробных расчетов опасности уязвимостей можно сделать вывод, что более детальные базовые метрики CVSS v4.0 в некоторых случаях дают оценки, значительно отличающиеся от оценок в предыдущей версии стандарта. Однако все же главное преимущество CVSS v4.0 — более явный акцент на том, что при оценке уязвимостей крайне важно учитывать инфраструктуру и окружение, в которых функционирует уязвимый компонент.
Когда же состоится переход сообщества специалистов по ИБ к использованию стандарта CVSS v4.0? Прогнозируем, что такой переход произойдет не раньше, чем это сделают мировые авторитетные организации, такие как MITRE, NIST и другие. Скорее всего, это произойдет уже в этом году.
Алексей Халин
Специалист группы методологии управления ИБ
Анастасия Дубровская
Руководитель группы анализа уязвимостей и кибератак
