安全服务——CVE中CVSS相关指标介绍

CVSS相关指标

目录

• CVSS相关指标
  • 一、CVSS是什么
  • 二、指标内容
    • 1、Base指标
      • 1.1、Access Vector (AV)——访问途径
      • 1.2、Access Complexity (AC)——访问复杂性
      • 1.3、Authentication (Au)——身份认证
      • 1.4、Confidentiality Impact (C)——机密性影响
      • 1.5、Integrity Impact (I)——完整度影响
      • 1.6、Availability Impact (A)——可用性影响
    • 2、Temporal指标
      • 2.1、Exploitability (E)——可利用性
      • 2.2、Remediation Level (RL)——修复水平
      • 2.3、Report Confidence (RC)——可信度报告
    • 3、Environmental指标
      • 3.1、Collateral Damage Potential (CDP)——附带损害潜力
      • 3.2、Target Distribution (TD)——目标分配
      • 3.3、Security Requirements (CR, IR, AR)——安全要求
  • 三、Base, Temporal, Environmental Vectors
  • 四、CVSS第2版 参考链接

一、CVSS是什么

CVSS——Common Vulnerability Scoring System（通用漏洞评估系统）

CVSS由三个指标组组成：Base指标，Temporal指标，Environmental指标。其中每个由一组指标组成。

The Common Vulnerability Scoring System (CVSS) provides an open framework for communicating the characteristics and impacts of IT vulnerabilities. CVSS consists of 3 groups: Base, Temporal and Environmental. Each group produces a numeric score ranging from 0 to 10, and a Vector, a compressed textual representation that reflects the values used to derive the score. The Base group represents the intrinsic qualities of a vulnerability. The Temporal group reflects the characteristics of a vulnerability that change over time. The Environmental group represents the characteristics of a vulnerability that are unique to any user's environment. CVSS enables IT managers, vulnerability bulletin providers, security vendors, application vendors and researchers to all benefit by adopting this common language of scoring IT vulnerabilities.

通用漏洞评估系统(CVSS)提供了一个开放的框架,用于通信的特点和影响它的漏洞。 CVSS由部分组成：Base，Temporal 和 Environmental。 每组生成一个从0到10的数字分数，以及一个向量，一个反映用于导出分数的值的压缩文本表示。Base表示漏洞的内在属性。Temporal反映了脆弱性随时间变化的特征。Environmental表示任何用户环境所特有的漏洞特征。CVSS使IT管理者、漏洞公告提供商、安全厂商、应用程序厂商和研究人员都能通过采用这种通用的IT漏洞评分语言而受益。

二、指标内容

1、Base指标

1.1、Access Vector (AV)——访问途径

这个指标反映了如何利用该漏洞。这个指标的可能值是表中列出。越多的远程攻击来攻击主机，脆弱性越大得分。

指标值	描述
Local (L)	只能通过本地访问才能利用的漏洞要求攻击者具有对易受攻击的系统或本地（shell）帐户的物理访问权。本地可利用漏洞的示例是外围攻击（例如Firewire / USB DMA攻击）和本地特权升级（例如sudo）。
Adjacent Network (A)	可以利用邻近网络访问漏洞要求攻击者可以访问易受攻击软件的广播域或冲突域。本地网络的示例包括本地IP子网，蓝牙，IEEE 802.11和本地以太网网段。
Network (N)	网络访问可利用的漏洞意味着易受攻击的软件已绑定到网络堆栈，并且攻击者不需要本地网络访问或本地访问。这种漏洞通常被称为“可远程利用”。网络攻击的一个示例是RPC缓冲区溢出。

1.2、Access Complexity (AC)——访问复杂性

该指标衡量一旦攻击者获得对目标系统的访问权，利用此漏洞所需的攻击的复杂性。例如，考虑Internet服务中的缓冲区溢出：找到目标系统后，攻击者可以随意发起攻击。

指标值	描述
High (H)	存在专门的访问条件
Medium (M)	访问条件较为特殊
Low (L)	不存在专门的访问条件或可减轻的情况

1.3、Authentication (Au)——身份认证

该指标衡量攻击者必须进行身份验证才能利用漏洞的次数。该指标不衡量身份验证过程的强度或复杂性，仅要求攻击者必须先提供凭据才能进行利用。所需的身份验证实例越少，漏洞得分越高。

指标值	描述
Multiple (M)	利用此漏洞需要攻击者进行两次或两次以上的身份验证，即使每次使用相同的凭据也是如此。例如：攻击者除了提供访问该系统上托管的应用程序的凭据之外，还向操作系统进行身份验证。
Single (S)	要求攻击者登录到系统中（例如，通过命令行或通过桌面会话或Web界面）
None (N)	利用此漏洞不需要身份验证

1.4、Confidentiality Impact (C)——机密性影响

该指标衡量成功被利用的漏洞对机密性的影响。机密性是指将信息访问和披露仅限于授权用户，以及防止未授权用户访问或披露信息。增加的机密性影响会增加漏洞分数。

指标值	描述
None (N)	不会影响系统的机密性
Partial (P)	有大量的信息披露。可以访问某些系统文件，但攻击者无法控制所获得的内容，否则损失的范围受到限制。例如：一个仅泄露数据库中某些表的漏洞。
Complete (C)	全部信息公开，导致所有系统文件都被公开。攻击者能够读取系统的所有数据（内存，文件等）

1.5、Integrity Impact (I)——完整度影响

该指标衡量成功被利用的漏洞对完整性的影响。完整性是指信息的可信赖性和保证的准确性。完整性影响越大漏洞分数越高。

Increased integrity impact increases the vulnerability score.

指标值	描述
None (N)	不会影响系统的完整性
Partial (P)	可以修改某些系统文件或信息，但是攻击者无法控制可以修改的内容，或者攻击者可以影响的范围是有限的。例如，系统或应用程序文件可能会被覆盖或修改，但攻击者无法控制受影响的文件，或者攻击者只能在有限的上下文或范围内修改文件。
Complete (C)	完全损害了系统完整性。完全失去了系统保护，导致整个系统受到损害。攻击者能够修改目标系统上的任何文件。

1.6、Availability Impact (A)——可用性影响

此度量标准衡量成功利用的漏洞对可用性的影响。可用性是指信息资源的可访问性。消耗网络带宽，处理器周期或磁盘空间的攻击都会影响系统的可用性。可用性影响越大，漏洞分数越高。

指标值	描述
None (N)	不会影响系统的可用性
Partial (P)	性能降低或资源可用性中断。例如：基于网络的洪水攻击，它允许有限数量的成功连接到Internet服务。
Complete (C)	完全关闭了受影响的资源。攻击者可以使资源完全不可用。

2、Temporal指标

2.1、Exploitability (E)——可利用性

该指标衡量漏洞利用技术或代码可用性的当前状态。易于使用的漏洞利用代码的公共可用性通过将不熟练的攻击者包括在内，从而增加了潜在的攻击者数量，从而增加了漏洞的严重性。

指标值	描述
Unproven (U)	没有可利用用代码，或者漏洞利用完全是理论上的。
Proof-of-Concept (POC)	提供了概念验证漏洞利用代码或对大多数系统不切实际的攻击演示。该代码或技术并非在所有情况下都起作用，并且可能需要熟练的攻击者进行实质性修改。
Functional (F)	提供功能漏洞利用代码。该代码在存在漏洞的大多数情况下均有效。
High (H)	该漏洞可以通过功能性移动自治代码来利用，或者不需要利用（手动触发器），并且可以广泛获取详细信息。该代码在任何情况下都有效，或者正在通过移动自主代理（例如worm或病毒）主动传递。
Not Defined (ND)	将此值分配给指标将不会影响得分。只是跳过此指标的信号。

2.2、Remediation Level (RL)——修复水平

漏洞的补救级别是确定优先级的重要因素。最初发布时，未修补典型漏洞。解决方法或修补程序可能会提供临时修复，直到发布正式补丁或升级为止。这些各个阶段中的每个阶段都向下调整得分，反映出随着补救措施的最终完成，紧迫性的降低。补丁的正式性和永久性越低，漏洞得分越高。

指标值	描述
Official Fix (OF)	有完整的供应商解决方案。供应商已经发布了官方补丁，或者可以进行升级。
Temporary Fix (TF)	有一个官方的但临时的修复程序。这包括供应商发出临时修补程序，工具或解决方法的实例。
Workaround (W)	有一个非官方的非供应商解决方案。在某些情况下，受影响技术的用户将创建自己的补丁程序，或提供解决或缓解漏洞的步骤。
Unavailable (U	没有可用的解决方案或无法应用。
Not Defined (ND)	将此值分配给指标将不会影响得分。只是跳过此指标的信号。

2.3、Report Confidence (RC)——可信度报告

该指标衡量对漏洞存在可信度以及已知技术细节的可信度。有时，仅公开存在漏洞，而没有具体细节。以后可以确认该漏洞，然后通过受影响技术的作者或卖方的确认予以确认。当已知某个漏洞确实存在时，该漏洞的紧迫性就会更高。此度量标准还建议潜在的攻击者可以使用的技术知识水平。表9中列出了此度量标准的可能值。供应商或其他信誉良好的来源验证的漏洞越多，得分越高。

指标值	描述
Unconfirmed (UC)	有一个未经确认的来源，或者可能有多个冲突的报告。报告的有效性几乎没有可信度。例如：只是来自地下黑客的谣言。
Uncorroborated (UR)	有多种非官方来源，可能包括独立的安全公司或研究组织。在这一点上，可能会有相互矛盾的技术细节或一些缠绵的歧义。
Confirmed (C)	该漏洞已由受影响的技术的供应商或作者确认。当从外部事件（例如发布功能或概念证明漏洞利用代码或广泛利用）中确认漏洞的存在时，也可以确认该漏洞。
Not Defined (ND)	将此值分配给指标将不会影响得分。只是跳过此指标的信号。

3、Environmental指标

3.1、Collateral Damage Potential (CDP)——附带损害潜力

该指标衡量由于财产或设备损坏或失窃而造成生命或财产损失的可能性。还可以衡量生产力或收入的经济损失。自然潜在损害越大，脆弱性得分越高。

指标值	描述
None (N)	没有生命，财产，生产力或收入损失的可能性
Low (L)	成功利用此漏洞可能会导致轻微的财产或财产损失，或者，可能会给组织带来轻微的收入或生产力损失。
Low-Medium (LM)	成功利用此漏洞可能导致中等程度的财产或财产损失。或者，可能会给组织带来一定程度的收入或生产力损失。
Medium-High (MH)	成功利用此漏洞可能会导致重大的物理或财产损坏或损失。或者，可能会严重损失收入或生产力。
High (H)	成功利用此漏洞可能会导致灾难性的物理或财产损失。否则，收入或生产力可能会遭受灾难性的损失。
Not Defined (ND)	将此值分配给指标将不会影响得分。只是跳过此指标的信号。

3.2、Target Distribution (TD)——目标分配

该指标衡量易受攻击系统的比例。它旨在作为一种特定于环境的指标，用于估计可能受此漏洞影响的系统的百分比。易受攻击的系统所占的比例越大，得分就越高。

指标值	描述
None (N)	没有目标系统，或者目标是如此专业化，以至于它们仅存在于实验室环境中。实际上，有0％的环境处于危险之中。
Low (L)	目标存在于环境内部，但规模很小。整个环境中有1％-25％处于危险之中。
Medium (M)	目标存在于环境内部，但规模中等。整个环境中有26％-75％处于危险之中。
High (H)	目标在环境内部存在的规模很大。总体环境的76％-100％被认为处于危险之中。
Not Defined (ND)	将此值分配给指标将不会影响得分。只是跳过此指标的信号。

3.3、Security Requirements (CR, IR, AR)——安全要求

这些指标使分析人员可以根据受影响的IT资产对用户组织的重要性（以机密性，完整性和可用性衡量）来定制CVSS分数，也就是说，如果IT资产支持其可用性，相对于机密性和完整性为最重要，分析师可以为可用性分配更大的价值。每个安全要求都有三个可能的值：低，中或高。

指标值	描述
Low (L)	[机密性/完整性/可用性]的损失可能只会对组织或与组织关联的个人（例如，员工，客户）产生有限的负面影响。
Medium (M)	失去[机密性/完整性/可用性]可能会对组织或与组织关联的个人（例如，员工，客户）产生严重的不利影响。
High (H)	失去[机密性/完整性/可用性]可能会对组织或与组织关联的个人（例如员工，客户）造成灾难性的不利影响。
Not Defined (ND)	将此值分配给指标将不会影响得分。只是跳过此指标的信号。

三、Base, Temporal, Environmental Vectors

向量中的每个度量均由缩写的度量名称组成，后跟“：”（冒号），然后是缩写的度量值。该向量使用“ /”（斜线）字符以预定顺序列出这些度量，以分隔度量。如果不使用时间或环境度量，则将其赋值为“ ND”（未定义）。

指标	描述
Base	AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]
Temporal	E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND]
Environmental	CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]

四、CVSS第2版 参考链接

https://www.first.org/cvss/v2/guide

https://www.cnblogs.com/caya-yuan/archive/2019/04/15/10709623.html