问:通用漏洞评分系统(CVSS)严重性评级似乎缺少现实世界上下文。这种情况下,公司如何安排修复优先级?
JFrog Security Research致力于通过发现、分析和公布新漏洞与攻击方法来推动软件安全,其高级总监Shachar Menashe表示:依靠不完善的方法确定漏洞是否可利用,安全团队和开发人员不过是在浪费他们宝贵的修复资源。
当下,企业最常用的漏洞评分资源之一就是通用漏洞评分系统(CVSS),这是个评估漏洞严重性的标准框架。该框架为每个漏洞指定一个范围在0(低危)到10(高危)的严重性得分,反映漏洞的利用难度和遭利用后可导致的破坏程度。大多数开发人员和安全团队都将CVSS评分当作自己漏洞修复计划的指南。
问题在于,如今大多数CVE的CVSS严重性评级都被过度夸大了,所以继续单纯依赖该评级量表是会误入歧途的。
这是由于当前的CVSS评分系统基于一套复杂的因素,但这些因素并没有充分纳入各个漏洞对现实世界的影响。今年早些时候,JFrog对2022年以来最普遍的10个开源软件漏洞进行了分析,发现只要将现实世界影响纳入考虑,大多数漏洞都比所报告的更加难以利用,其高危评级具有欺骗性。具体讲,50个顶级CVE中64%的JFrog Security Research严重性评级都低于CVSS评级。
研究显示,很多较严重的CVE都需要复杂的配置场景或非常特定的条件才能成功利用,而CVSS评分并未反映出这一点。缺乏恰当的上下文,企业只是在浪费宝贵的资源去缓解可能不会对自身系统造成任何影响的软件缺陷。
01
真正的衡量标准:可利用性
分析CVE的上下文需要考虑现实世界因素,比如:
虽然CVSS评分通过其影响指标(机密性、完整性和可用性)提供了一些上下文,这些指标是根据理论上的“表面价值”评定的,并没有考虑到攻击对现实世界系统的实际影响。例如:
2022年11月发现的OpenSSL CVE-2022-3602是第二个例子的生动体现。业内起初普遍对该漏洞颇为忧虑,但技术细节表明该漏洞对现实世界没有影响,尽管如此,CVE-2022-3602的影响评级仍旧是高。
02
CVSS 4.0解决不了这个问题
虽然CVSS 4.0将囊括“attack requirements”(“攻击要求”)指标以反映攻击成功所需的条件,但仍然不够详细。(只能设置为“none”(“无”)或“present”(“存在”),并不能说明攻击要求的罕见性。)
比如说,仅在极其罕见的配置或条件下才可利用,甚至任何现实世界场景中都可能无法完全利用的远程代码执行(RCE)漏洞,其“attack requirements”会被标记为“present”,但仅会将评分从9.3略调低至9.2。这种几乎不会发生的理论上的RCE远程漏洞,企业拿到的评分仍旧是9.2(高危)级别。这种情况亟待改变。
03
建议:增添上下文
虽然CVSS系统不断改进,但协同其他资源有助于更准确地评估CVE危险程度。查阅nvd.nist.gov时,请特别注意CNA的CVSS评级,而不仅仅是美国国家漏洞数据库(NVD)的CVSS评级。特定于发行版的严重性评分(比如Ubuntu和Red Hat Linux发行版),以及特定于项目的严重性评分,(比如Apache Web Server、Curl和OpenSSL),通常都有更精确的严重性评级。
数世咨询点评
此外,还需要考虑将上下文集成到修复过程中的方法。研究表明,没几个漏洞是不需要高度特定的前提条件就能利用的。
应结合现实世界可利用性、CVE适用性和上下文分析来指导企业的漏洞优先级排序和修复工作。与其要求开发人员“修复一切”,不如为他们提供所需信息来解决最重要的漏洞。
* 本文为nana编译,原文地址:https://www.darkreading.com/edge-ask-the-experts/why-do-cve-scores-need-real-world-context-to-prioritize
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...