Cálculo de un coeficiente CVSS

Cálculo de un coeficiente CVSS

El CVSS (Common Vulnerability Scoring System) es un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas. De esta forma se puede conocer la gravedad de los fallos que afectan a nuestros sistemas. Esto nos permitirá dar prioridad a la hora de parchear.

El CVSS clasifica la facilidad de aprovechar el fallo y el impacto del problema teniendo en cuenta la confidencialidad, la integridad y la disponibilidad.

Hace años, hubo múltiples vulnerabilidades en Cisco Adaptive Security Appliance y en Cisco PIX Security Appliances.

El CVSS Score base era de 7.8 y el temporal y ambiental de 6.8, lo que suponía un riesgo alto. (Imágenes 1,2,3)

[pic 1]

Imagen 1. Vulnerabilidad y nivel de riesgo

[pic 2]

Imagen 2. Parámetros Base y Temporales

[pic 3]

Imagen 3. Parámetros Ambientales.

Análisis de los parámetros

Base (Imagen 2)

Son características de la vulnerabilidad que no van a cambiar con el tiempo, asumiendo que la información inicial a cerca de la vulnerabilidad es correcta y completa.

Estos son:

El vector de acceso que en este caso es la red, la complejidad de acceso la cual es baja, el impacto confidencial que es completo, la autentificación la cual no es requerida, y el impacto de integridad y disponibilidad que en este caso no tiene ninguno de los dos.

El resultado de todo esto es un Score de 7.8.

Temporal (Imagen 2)

Son parámetros los cuales pueden variar a lo largo del tiempo.

Estos son:

La explotabilidad que en este caso es alta, el nivel de remedio el cual es “Officia-Fix” y el reporte confidencial que está confirmado.

El resultado de estos parámetros da un Score Temporal de 6.8.

Ambiental (Imagen 3)

Parámetros que están ligados a la distribución del sistema y al ambiente de la red.

Estos son:

Daño colateral potencial, requerimiento confidencial, requerimiento de disponibilidad, distribución del “target” y requerimiento de integridad que en este caso ninguno de ellos están definidos.

Esto da un Score ambiental de 6.8.

Cálculo de vulnerabilidad inventada

Parámetros base:

Exploitability metrics                                                                          Impact Metrics

Attack Vector: física                                                                       Confidentiality Impact: Bajo

Attack Complexity: bajo                                                                 Integrity Impact: Bajo

Privileges Required: ninguno                                                        Availability Impact: Bajo

User Interaction: ninguno                                                                  

Scope: no cambia

[pic 4]

Imagen 4. Score base y total

Parámetros temporales

Exploitability: Alta

Remediation Level: “Temporary fix”

Report Confidence: Confirmada

[pic 5]

Imagen 5. Score base, temporal y total

Parámetros ambientales

Exploitability metrics            Impact Metrics                        Impact Subscore Modifiers

Attack Vector: local            Confidentiality Impact: Alto     Confidentiality Impact: Medio

...