Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Métricas de evaluación de vulnerabilidades: CVSS 3.0

Fecha de publicación 21/07/2015
Autor
Antonio López (INCIBE)
CVSS 3.0

CVSS, del inglés Common Vulnerability Scoring System es un framework abierto y universalmente utilizado que establece unas métricas para la comunicación de las características, impacto y severidad de vulnerabilidades que afectan a elementos del entorno de seguridad IT. La organización responsable, el Forum of Incident Response and Security Teams (FIRST) ha presentado una actualización del estándar con la versión CVSS 3.0.

FIRST da sus primeros pasos en 1990 con objetivo de cubrir un vacío en lo que ha respuesta a incidentes de seguridad se refiere. Esta carencia se puso de manifiesto  con la primera muestra relevante de un gusano de internet conocido como Morris , creado en el MIT y que produjo importantes daños al expandirse por internet de forma incontrolada.

Este incidente dio pie al nacimiento del FIRST, que desde entonces se ha posicionado y reconocido como la organización líder en la gestión de respuesta a incidentes. El FIRST es una asociación de entidades para proporcionar mecanismos de buenas prácticas, herramientas y elementos para la comunicación, clasificación y respuesta a incidentes de seguridad. Agrupa miembros de un amplio espectro de sectores como el de la educación, comercio y fabricantes, gobiernos y entidades militares, así como importantes CERTs internacionales. España cuenta a día de hoy  con 11 miembros activos, entre ellos INCIBE-CERT.

Distribución de miembros del FIRST. 70 países y 321 miembros

- Distribución de miembros del FIRST. 70 países y 321 miembros -

El FIRST ha trabajado durante 3 años en la renovación del sistema CVSS hasta llegar a la presentación de los primeros borradores a finales de 2014 y la publicación definitiva de la tercera versión en Junio de 2015. La actualización del CVSS dada la evolución que el sector de las tecnologías de la información ha sufrido estos últimos años, se presentaba absolutamente necesaria. Con la versión 3.0 el sistema es ahora más aplicable a los nuevos contextos tecnológicos y de amenazas actuales.

Common Vulnerability Scoring System

CVSS es un sistema de puntuación que proporciona un método estándar y abierto para estimar el impacto de una vulnerabilidad y  que se compone tres grupos principales de métricas: Base, Temporal y de Entorno (Environmental). Cada uno de estos grupos se compone a su vez de un conjunto de métricas.

Grupo Base: Engloba las cualidades intrínsecas de una vulnerabilidad y que son independientes del tiempo y el entorno. Las métricas evaluadas en este grupo son:

  • Access Vector (AV). Valores: [L,A,N] (Local, Adjacent, Network
  • Access Complexity (AC). Valores [H,M,L] (High, Medium, Low)
  • Authentication (Au). Valores [M,S,N] (Multiple, Single, None)
  • Confidenciality Impact (C) . Valores [N,P,C] (None, Partial, Complete)
  • Integrity Impact (I). Valores [N,P,C] (None, Partial, Complete)
  • Availability Impact (A). Valores [N,P,C] (None, Partial, Complete)

Grupo Temporal: Características de la vulnerabilidad que cambian en el tiempo. Se aplican tres métricas::

  • Exploitability (E). Valores: [U,POC,F,H,ND] (Unproven, Proof-of-Concept, Functional Exploit, High, Not Defined)
  • Remediation Level (RL). Valores: [OF,TF,W,U,ND] (Official Fix, Temporary Fix, Workaround, Unavailable, Not Defined)
  • Report Confidence (RC). Valores: [UC,UR,C,ND] (Unconfirmed, Uncorroborated, Confirmed, Not Defined)

Grupo Environmental: Las características de la vulnerabilidad relacionadas con el entorno del usuario. En este caso los factores que se evalúan son:

  • Collateral Damage Potential (CDP). Valores: [N,L,LM,MH,H,ND] (None, Low, Low Medium, Medium High, High, Not Defined)
  • Target Distribution (TD). Valores: :[N,L,M,H,ND] (None, Low, Medium, High, Not Defined)
  • Security Requirements (CR, IR, AR). Valores: [L,M,H,ND] (Low, Medium, High, Not Defined)

Métricas CVSS. Versión 2

- Métricas CVSS. Versión 2 –

En la siguiente tabla se recogen todas las métricas y los posibles pares parámetro/valor:

Métricas y valores CVSS versión 2

- Métricas y valores CVSS versión 2 -

Ecuaciones y cuantificación

Una vez asignados los valores de cada métrica se aplicarán unas fórmulas (equations) recogidas en las especificaciones del CVSS y  que resultarán en un valor numérico entre 0.0 y 10.0 para cada grupo. Este resultado numérico total puntúa y determina cuantitativamente el impacto final de una vulnerabilidad. El valor numérico final se acompaña de una cadena de texto, denominada vector donde se especifica con la sintaxis (métrica:[valor]) (cada grupo de métricas evaluado.

La métrica base es obligatoria y opcionalmente pueden evaluarse los factores temporal y de entorno (environmental)

Un ejemplo CVSS típico tiene el siguiente aspecto:

Heartbleed CVE-2014-0160

CVSS v2 Base Score: 5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N)

Donde el impacto es cuantificado con la puntuación 5.0 y el vector representa los pares métrica:valor del grupo base:

  • AV:N --> Access Vector: Network
  • AC:L --> Access Complexity: Low
  • AU:N --> Authentication: None
  • C:P --> Confidentiality: Partial
  • I:N --> Integrity:None
  • A:N --> Availability:None

Métricas y ecuaciones en versión 2

 - Métricas y ecuaciones en versión 2 -

La puntuación CVSS puede automatizarse con herramientas que implementan las fórmulas de cálculo, como por ejemplo la calculadora del NIST.

CVSS versión 3.0

La primera versión del CVSS se lanzó en 2004 seguida de la versión 2 en 2007. En 2012 se inicia el proceso de actualización a la versión 3, en respuesta a observaciones realizadas por distintas organizaciones que mantienen bases de datos de referencia de vulnerabilidades como la National Vulnerability Database (NVDB) y Open Source Vulnerability Database (OSVD).

Las propuestas de mejora para el sistema CVSS se focalizan en proporcionar mejores definiciones y conseguir una mayor  precisión en las valoraciones. El grupo Base de métricas es el que ha sido objeto de una mayor revisión ya que adolecía de  imprecisiones y limitaciones en algunas de sus métricas, lo que generaba cierta confusión en la descripción del ataque. Estos y otros cambios que afectan al grupo de entorno se describen en detalle al final de este artículo.

Métricas en CVSS 3.0

- Métricas en CVSS 3.0. -

Puntuación en CVSS 3.0

La puntuación en la versión 3.0 sigue en esencia los mismos patrones que la versión 2: una vez los valores de las métricas Base son asignadas por un analista, la ecuación definida para calcular la puntuación genera un valor entre 0.0 y 10.0 derivada de dos subcálculos procedentes de las métricas de Explotación e Impacto. Opcionalmente este cálculo puede ser refinado con las ecuaciones de las métricas Temporal y de entorno (Environmental)

De forma similar a la versión anterior,  la evaluación de la vulnerabilidad además del valor numérico CVSS se acompaña con una cadena de texto denominada “vector string” que contiene la representación textual de cada valor asignado a cada métrica contemplada.

Métricas y ecuaciones en CVSS v3.0

- Métricas y ecuaciones en CVSS v3.0 –

 Métricas y valores en CVSS 3.0

- Métricas y valores en CVSS 3.0 -

Principales cambios respecto de la versión 2

Respecto las métricas descritas en la versión CVSS 3.0 podemos destacar los siguientes cambios:

Grupo de métricas Base

  • La subcategoría de Explotación se redefine con las métricas “Access Attack” (Vector de Ataque), “Attack Complexity” (Complejidad de Ataque), ”Privileges Required” (Privilegios requeridos) e “User Interaction” (Interacción de Usuario). Estas nuevas categorías aparecen para sustituir a las anteriores: Vector Acceso” (Access Vector) , “Complejidad de acceso” (Access Complexity) y “Autenticación” (Authentication) que creaban confusión e imprecisiones a la hora de describir el ataque.

 

  • Nueva métrica: Alcance o “Scope”. Esta propiedad complementa la evaluación global de las métricas base, y dará mayor o menor valor al resultado, dependiendo qué privilegios y qué recursos se ven afectados al explotar la vulnerabilidad. Así, además de las subcategorías de impacto y explotación, se tendrá en cuenta el alcance o “Scope”. Esta métrica dará mayor o menor valor a la métrica base, dependiendo qué privilegios se adquieran al explotar la vulnerabilidad y la cantidad de que recursos que puedan verse afectados (software, hardware, sistemas operativos, ficheros, etc.).

Grupo de métricas de Entorno:

  • Se eliminan las métricas “Collateral Damage Potential” (Daño potencial colateral) y “Target Distribution” (Distribución de objetivos). En su lugar, se revalúan las métricas base, según las condiciones de mitigación o debilidades que existen en el ambiente de los usuarios, y que podrían afectar al impacto de una explotación de vulnerabilidades exitosa.

 

  • Criterios cualitativos de clasificación:En la versión 2 de CVSS no se aportaba un criterio definido para asignar una correspondencia entre una escala cualitativa y un valor cuantitativo. En esta versión 3 se cubre esta carencia, y se establece una correspondencia cualitativa de la severidad con el valor cuantitativo de la vulnerabilidad:

Correspondencia entre la puntuación CVSS y valor cualitativo

- Correspondencia entre la puntuación CVSS y valor cualitativo (severidad) -