CVSS(Common Vulnerability Scoring System)打分規則解讀

楼上那个蜀黍發表於2024-08-21

CVSS(Common Vulnerability Scoring System)提供了一種根據漏洞的主要特徵進行打分,反映其嚴重性的方法。CVSS 已成為被廣泛使用的標準。

下面是CVSS 3.1版本計算器的介面截圖,本文對Base Score的打分標準做解讀,並提供一些建議。同時會對每個維度選項做翻譯。

Attack Vector 攻擊向量

  • 從廣域網、區域網攻擊。Network。
  • 要跑到裝置附近,藍芽,NFC、本地IP子網內。不能跨路由器。Adjacent。
  • 在裝置上執行程式實現攻擊行為。Local。
  • 在裝置上手動物理操作實現攻擊行為。Physical。

Network

"可透過網路訪問利用的漏洞"意味著易受攻擊的元件與網路堆疊繫結,攻擊者的路徑透過OSI第3層(網路層)。這種漏洞通常被稱為"遠端可利用",可以被理解為攻擊可以在一個或多個網路跳躍點被利用。

Adjacent

"可透過相鄰網路訪問利用的漏洞"意味著易受攻擊的元件與網路堆疊繫結,但是攻擊僅限於相同的共享物理網路(例如藍芽,IEEE 802.11)或邏輯網路(例如本地IP子網),並且不能跨越OSI第3層(例如路由器)進行。

Local

"可透過本地訪問利用的漏洞"意味著易受攻擊的元件不繫結到網路堆疊,攻擊者的路徑是透過讀/寫/執行能力。在某些情況下,攻擊者可能需要本地登入才能利用漏洞,否則,她可能依賴使用者互動來執行惡意檔案。

Physical

"可透過本地訪問利用的漏洞"意味著易受攻擊的元件不繫結到網路堆疊,攻擊者的路徑是透過讀/寫/執行能力。在某些情況下,攻擊者可能需要本地登入才能利用漏洞,否則,她可能依賴使用者互動來執行惡意檔案。

Attack Complexity 攻擊複雜度

  • 無前置條件,可重複攻擊成功。Low。
  • 存在攻擊者無法控制的條件。High。

Low

執行攻擊不存在任何門檻條件,也不存在特殊情況下有意留的後門。攻擊者可以期望對易受攻擊的元件重複成功。

High

成功的攻擊取決於攻擊者無法控制的條件。也就是說,成功的攻擊不能隨意完成,而需要攻擊者在成功的攻擊可以預期之前,對易受攻擊的元件投入一些可衡量的準備工作。例如,成功的攻擊可能需要攻擊者:進行針對目標的偵查;準備目標環境以提高利用的可靠性;或者將自己注入目標和受害者請求的資源之間的邏輯網路路徑中,以便讀取和/或修改網路通訊(例如,中間人攻擊)。

Privileges Required 所需許可權

  • 攻擊者無需登入驗證授權。None。
  • 攻擊者需要獲得較低的授權,比如標準使用者。Low。
  • 攻擊者需要獲得高許可權使用者,比如admin。High。

None

攻擊者在攻擊之前是未經授權的,因此不需要對設定或檔案進行任何訪問即可執行攻擊。

Low

攻擊者被授予(即需要)許可權,這些許可權提供基本使用者功能,這些功能通常只會影響使用者擁有的設定和檔案。或者,具有低許可權的攻擊者可能僅能夠對非敏感資源造成影響。

High

攻擊者被授予(即需要)許可權,這些許可權為易受攻擊的元件提供重要(例如,管理)控制,這可能會影響元件範圍的設定和檔案。

User Interaction 使用者互動

  • 可以無條件開始攻擊,不需要合法使用者做任何前置動作。None。
  • 需要等到合法使用者將系統執行到特定狀態。Required。

None

易受攻擊的系統可以在沒有任何使用者互動的情況下被利用。

Required

要成功利用此漏洞,使用者需要先執行一些操作,然後才能利用此漏洞。

Scope 範圍

  • 僅元件自身受影響。Unchanged。
  • 超出元件自身,比如提供了執行作業系統命令的入口。Changed。

Unchanged

被利用的漏洞只能影響由同一安全機構管理的資源。在這種情況下,易受攻擊的元件和受影響的元件要麼是相同的,要麼是由同一安全機構管理的。

Changed

被利用的漏洞可能會影響到易受攻擊元件的安全機構管理的安全範圍之外的資源。在這種情況下,易受攻擊的元件和受影響的元件是不同的,並由不同的安全機構管理。

Confidentiality 機密性

  • 不存在任何敏感資訊被洩露。None。
  • 非認證/授權使用者可越權檢視資訊,後果不嚴重。Low。
  • 洩露了會造成嚴重影響的資訊,如密碼。High。

None

受影響的元件內部不會丟失機密性。

Low

有一些保密性的損失。可以獲取一些受限制的資訊,但攻擊者無法控制獲取的資訊,或者損失的數量或種類受到限制。資訊洩露不會對受影響的元件造成直接、嚴重的損失。

High

完全失去了機密性,導致受影響元件中的所有資源都被洩露給攻擊者。或者,只能訪問一些受限制的資訊,但披露的資訊會帶來直接、嚴重的影響。

Integrity 完整性

  • 資料不會遭到篡改。None。
  • 遭篡改的範圍有限,後果不嚴重。Low。
  • 遭篡改的範圍不可控,後果嚴重。High。

None

受影響的元件內部不會丟失完整性。

Low

可以修改資料,但攻擊者無法控制修改的後果,或者修改的數量是有限的。資料修改不會對受影響的元件產生直接、嚴重的影響。

High

完全喪失了完整性,或完全喪失了保護。例如,攻擊者能夠修改受影響元件保護的任何/所有檔案。或者,只能修改一些檔案,但惡意修改會對受影響的元件造成直接、嚴重的後果。

Availability 可用性

  • 合法使用者使用完全正常。None。
  • 合法使用者使用受到影響,但不明顯。Low。
  • 合法使用者無法正常使用。High。

None

對受影響元件內的可用性沒有影響。

Low

效能降低或資源可用性中斷。即使可以反覆利用該漏洞,攻擊者也無法完全拒絕合法使用者的服務。受影響元件中的資源要麼始終部分可用,要麼僅在部分時間完全可用,但總體而言,不會對受影響的元件造成直接的嚴重後果。

High

可用性完全喪失,導致攻擊者能夠完全拒絕對受影響元件中資源的訪問;這種損失要麼是持續的(當攻擊者繼續進行攻擊時),要麼是長久的(即使在攻擊完成後,這種情況仍然存在)。或者,攻擊者有能力拒絕某些可用性,但可用性的喪失會給受影響的元件帶來直接的嚴重後果(例如,攻擊者無法中斷現有連線,但可以阻止新的連線;攻擊者可以反覆利用一個漏洞,在每次成功攻擊的情況下,該漏洞僅洩漏少量記憶體, 但是在反覆利用後,會導致服務變得完全不可用)。

相關文章