1. 引言
通用漏洞评分系统(CVSS)捕捉软件、硬件和固件漏洞的主要技术特征。其输出包括表示漏洞相对于其他漏洞严重性的数值分数。
CVSS 由四个指标组组成:基础、威胁、环境和补充。基础分数反映了根据漏洞的内在特征的严重性,这些特征随时间不变,并假设在不同的部署环境中具有合理的最坏影响。威胁指标根据诸如是否有概念验证代码或活跃利用等因素调整漏洞的严重性。环境指标进一步将结果严重性分数细化到特定的计算环境。它们考虑了诸如环境中存在的缓解措施和易受攻击系统的关键性属性等因素。最后,补充指标描述并测量漏洞的额外外在属性,旨在添加上下文。
基础指标和可选的补充指标由维护易受攻击系统的组织或代表其进行的第三方评估提供。威胁和环境信息仅对最终消费者可用。CVSS 的消费者应使用特定于他们对易受攻击系统的使用情况的威胁和环境指标值来丰富基础指标,以产生一个为组织的风险评估提供更全面输入的分数。消费者可以将 CVSS 信息作为输入到还考虑 CVSS 范围之外的因素的组织漏洞管理流程中,以便对技术基础设施的威胁进行排名并做出明智的补救决策。这些因素可能包括但不限于:监管要求、受影响的客户数量、因漏洞利用而导致的经济损失、生命或财产受到威胁,或潜在漏洞利用的声誉影响。这些因素超出了 CVSS 的范围。
CVSS 的好处包括提供了一个标准化的供应商和平台无关的漏洞评分方法。它是一个开放框架,提供了用于推导分数的各个特征和方法的透明度。
1.1. 指标
CVSS 由四个指标组组成:基础、威胁、环境和补充,每个指标组由一组指标组成,如图 1 所示。
图 1:CVSS 指标组
基础指标组代表漏洞的内在特征,这些特征随时间不变且在用户环境中保持恒定。它由两组指标组成:可利用性指标和影响指标。
可利用性指标反映了成功利用漏洞的难易程度和技术手段。也就是说,它们代表了“易受攻击的事物”的特征,我们正式称之为“易受攻击的系统”。影响指标反映了成功利用的直接后果,并代表了“受影响的事物”的后果,这可能包括对易受攻击系统的影响和/或对正式称为“后续系统”的下游影响。
虽然易受攻击的系统通常是软件应用程序、操作系统、模块、驱动程序等(或可能是硬件设备),但后续系统可能包括这些示例中的任何一个,还包括人类安全。这种测量漏洞影响超出易受攻击系统的能力是 CVSS v3.0 引入的一个关键特性。此属性(以前称为“范围”),通过分离对易受攻击系统和后续系统的影响来捕获,稍后将讨论。
威胁指标组反映了与可能随时间变化但不一定在用户环境之间变化的威胁相关的漏洞特征。例如,确认漏洞既未被利用也没有公开可用的概念验证利用代码或指令将降低结果 CVSS 分数。此指标组中的值可能会随时间变化。
环境指标组代表对特定消费者的环境相关且独特的漏洞特征。考虑因素包括可能缓解成功攻击某些或全部后果的存在安全控制,以及易受攻击的系统在技术基础设施中的相对重要性。
补充指标组包括提供上下文并描述和测量漏洞的额外外在属性的指标。补充指标组中每个指标的响应由 CVSS 消费者确定,允许最终用户风险分析系统应用本地重要的严重性到指标和值。消费者组织可以为每个指标或指标组合分配重要性和/或有效影响,给予它们更多、更少或绝对没有对漏洞的分类、优先级和评估的影响。指标和值将仅传达漏洞本身的额外外在特征。
1.2. 评估
当分析师为基础指标分配值时,基础指标评估的结果是一个介于 0.0 到 10.0 之间的分数。
然后可以通过评估威胁和环境指标进一步细化基础指标评估,以更准确地反映漏洞对用户环境在特定时间点的相对严重性。评估威胁和环境指标不是必需的,但为了更有意义的结果,强烈建议这样做。
通常,基础指标由漏洞公告分析师、产品供应商或应用程序供应商指定,因为他们通常对漏洞的特征拥有最准确的信息。威胁和环境指标由消费者组织指定,因为他们最能评估漏洞在其自身计算环境中的潜在影响。
评估 CVSS 指标还会产生一个向量字符串,这是用于推导漏洞定量分数和定性评级的指标值的文本表示。此向量字符串是包含分配给每个指标的值的特定格式的文本字符串,应与漏洞分数一起显示。
1.3. 名称
数值 CVSS 分数根据用于计算的指标具有非常不同的含义。关于优先级,数值 CVSS 分数的有用性与用于生成该分数的 CVSS 指标的杠杆作用成正比。因此,数值 CVSS 分数应使用传达用于生成该分数的指标的名称进行标记。
| CVSS 名称 | CVSS 指标 |
|---|---|
| CVSS-B | 基础指标 |
| CVSS-BE | 基础和环境指标 |
| CVSS-BT | 基础和威胁指标 |
| CVSS-BTE | 基础、威胁和环境指标 |
附加说明:
此名称应在显示或传达数值 CVSS 值的任何地方使用。
环境和威胁指标的应用是 CVSS 消费者的责任。评估提供者(如产品维护者以及其他公共/私人实体,如国家漏洞数据库(NVD))通常仅提供作为 CVSS-B 枚举的基础分数。
如果使用了任何环境指标,则在名称中包含“E”是适当的。
如果使用了任何威胁指标,则在名称中包含“T”是适当的。
在 CVSS v4.0 中,基础、威胁和环境指标值始终被视为最终分数计算的一部分。未明确选择威胁和/或环境指标仍将使用默认(“未定义”)值生成完整分数。此名称明确说明了提供的数值 CVSS 分数中考虑了哪些指标组。
2. 基础指标
2.1. 可利用性指标
如前所述,可利用性指标反映了“易受攻击的事物”的特征,我们正式称之为易受攻击的系统。因此,下面列出的每个可利用性指标都应相对于易受攻击的系统进行评估,并反映导致成功攻击的漏洞属性。
在评估基础指标时,应假设攻击者对目标系统有深入了解,包括一般配置和默认防御机制(例如,内置防火墙、速率限制、流量监管)。例如,即使攻击者拥有知识或能力,导致可重复、确定性成功的漏洞利用仍应被视为低攻击复杂性。此外,特定于目标的攻击缓解(例如,自定义防火墙过滤器、访问列表)应反映在环境指标评分组中。
特定配置不应影响对 CVSS 基础指标评估的任何属性贡献,即如果攻击成功需要特定配置,易受攻击的系统应被评估为处于该配置中。
2.1.1. 攻击向量 (AV)
此指标反映了漏洞利用可能的上下文。此指标值(以及因此产生的严重性)将随着攻击者在逻辑上和物理上可以远离易受攻击的系统进行利用而变得更大。假设能够跨网络利用漏洞的潜在攻击者数量大于需要物理访问设备的漏洞的潜在攻击者数量,因此需要更高的严重性。可能的值列表如表 1 所示。
表 1:攻击向量
| 指标值 | 描述 |
|---|---|
| 网络 (N) | 易受攻击的系统绑定到网络堆栈,可能的攻击者范围超出下表列出的其他选项,直至包括整个互联网。这种漏洞通常被称为“远程可利用”,可以认为是在协议级别上经过一个或多个网络跳进行攻击。例如,攻击者通过跨广域网发送特制的 TCP 数据包导致拒绝服务(DoS)(如 CVE-2004-0230)。 |
| 相邻 (A) | 易受攻击的系统绑定到协议堆栈,但攻击在协议级别上限制在逻辑上相邻的拓扑结构中。这可能意味着攻击必须从相同的共享邻近区域(例如,蓝牙、NFC 或 IEEE 802.11)或逻辑网络(例如,本地 IP 子网)发起,或从安全或受限的管理域(例如,MPLS、管理网络区域内的安全 VPN)内发起。例如,ARP(IPv4)或邻居发现(IPv6)泛洪导致本地 LAN 段上的拒绝服务(如 CVE-2013-6014)。 |
| 本地 (L) | 易受攻击的系统未绑定到网络堆栈,攻击者的路径是通过读/写/执行能力。要么:攻击者通过本地访问(例如,键盘、控制台)或通过终端仿真(例如,SSH)利用漏洞;或者攻击者依赖另一个用户的交互来执行利用漏洞所需的操作(例如,使用社会工程技巧诱使合法用户打开恶意文档)。 |
| 物理 (P) | 攻击需要攻击者物理接触或操纵易受攻击的系统。物理交互可能是短暂的(例如,邪恶女仆攻击)或持续的。例如,攻击者在物理访问目标系统后通过冷启动攻击获得磁盘加密密钥的访问权限。其他示例包括通过 FireWire/USB 直接内存访问(DMA)的外围攻击。 |
评估指南:在决定使用网络还是相邻时,如果攻击可以通过广域网或从逻辑上相邻的管理网络域之外发起,则使用网络。
2.1.2. 攻击复杂性 (AC)
此指标捕获攻击者为积极规避或绕过易受攻击的系统所利用的现有内置安全增强条件而必须采取的可测量行动。这些是主要目的是提高安全性和/或增加利用工程复杂性的条件。一个无需目标特定变量即可利用的漏洞比需要非平凡定制的漏洞具有更低的复杂性。此指标旨在捕获易受攻击的系统所利用的安全机制,与攻击者成功所需的时间或尝试次数无关,例如,竞争条件。如果攻击者不采取行动来克服这些条件,攻击将始终失败。
身份验证机制或要求的规避包含在特权要求评估中,不被视为此处的相关因素,以攻击复杂性为因素。
表 2:攻击复杂性
| 指标值 | 描述 |
|---|---|
| 低 (L) | 攻击者无需采取任何可测量行动即可利用漏洞。攻击不需要任何目标特定的规避即可利用漏洞。攻击者可以期望对易受攻击的系统取得可重复的成功。 |
| 高 (H) | 成功的攻击取决于规避或绕过原已存在的安全增强技术,这些技术否则会阻碍攻击。这些包括: <br>规避利用缓解技术。攻击者必须有额外的方法来绕过原已存在的安全措施。例如,绕过地址空间随机化(ASLR)或数据执行预防(DEP)必须执行才能使攻击成功。 <br>获取目标特定秘密。攻击者必须在攻击成功之前收集某些目标特定秘密。秘密是任何无法通过任何侦察获得的信息。为了获得秘密,攻击者必须执行额外的攻击或打破原已安全的措施(例如,需要知道秘密密钥才能破坏加密通道)。此操作必须针对每个被攻击目标执行。 |
如第 2.1 节所述,详细的目标系统知识超出了攻击复杂性的范围。请参阅该部分,以获取在存在目标特定攻击缓解时评分攻击复杂性的附加指导。
2.1.3. 攻击要求 (AT)
此指标捕获易受攻击的系统的部署和执行条件或变量,这些条件或变量使攻击成为可能。这些条件与安全增强技术/技术(参见_攻击复杂性_)不同,因为这些条件的主要目的不是明确地缓解攻击,而是作为易受攻击的系统的部署和执行的结果自然出现。如果攻击者不采取行动来克服这些条件,攻击可能只偶尔成功或根本不成功。
表 3:攻击要求
| 指标值 | 描述 |
|---|---|
| 无 (N) | 成功的攻击不依赖于易受攻击的系统的部署和执行条件。攻击者可以期望在易受攻击的系统的所有或大多数实例中到达漏洞并执行利用。 |
| 存在 (P) | 成功的攻击依赖于易受攻击的系统的特定部署和执行条件的存在。这些包括: <br>必须赢得竞争条件才能成功利用漏洞。攻击的成功取决于攻击者无法完全控制的执行条件。攻击可能需要针对单个目标多次发起才能成功。 <br>网络注入。攻击者必须将自己注入目标和受害者请求的资源之间的逻辑网络路径(例如,需要路径上的攻击者)。 |
2.1.4. 特权要求 (PR)
此指标描述攻击者在成功利用漏洞之前必须拥有的特权级别。攻击者在攻击之前获得特权凭据的方法(例如,免费试用账户)超出了此指标的范围。通常,如果攻击者可以作为攻击的一部分授予自己特权,则自服务平台提供的账户不构成特权要求。
结果分数在不需要任何特权时最大。可能的值列表如表 4 所示。
表 4:特权要求
| 指标值 | 描述 |
|---|---|
| 无 (N) | 攻击者在攻击之前是未经身份验证的,因此不需要对易受攻击的系统的设置或文件进行任何访问即可进行攻击。 |
| 低 (L) | 攻击者需要提供通常仅限于单个低特权用户拥有的设置和资源的基本功能的特权。或者,具有低特权的攻击者只能访问非敏感资源。 |
| 高 (H) | 攻击者需要提供对易受攻击的系统具有重要控制权(例如,管理权限)的特权,从而可以完全访问易受攻击的系统的设置和文件。 |
评估指南:对于硬编码凭证漏洞或需要社会工程的漏洞(例如,反射型跨站脚本攻击、跨站请求伪造,或 PDF 阅读器中的文件解析漏洞),特权要求通常是无。未更改或在每个环境中不唯一的默认凭证应被视为与硬编码凭证类似。
2.1.5. 用户交互 (UI)
此指标捕获除攻击者之外的人类用户参与成功破坏易受攻击的系统的程度。此指标确定漏洞是否可以 solely 根据攻击者的意愿进行利用,或者是否需要单独的用户(或用户发起的进程)以某种方式参与。结果分数在不需要任何用户交互时最大。可能的值列表如表 5 所示。
表 5:用户交互
| 指标值 | 描述 |
|---|---|
| 无 (N) | 易受攻击的系统可以在没有任何人类用户交互的情况下被利用,除了攻击者。例如:远程攻击者能够向目标系统发送数据包;经过本地身份验证的攻击者执行代码以提升特权。 |
| 被动 (P) | 成功利用此漏洞需要目标用户与易受攻击的系统和攻击者的有效载荷进行有限的交互。这些交互将被视为非自愿的,并且不需要用户主动破坏易受攻击的系统中内置的保护措施。例如: <br>利用在页面呈现时显示恶意内容的网站(大多数存储的 XSS 或 CSRF) <br>运行调用已植入系统中的恶意二进制文件的应用程序 <br>使用生成不信任或受损网络上的流量的应用程序(需要路径上的攻击者) |
| 主动 (A) | 成功利用此漏洞需要目标用户以特定的方式与易受攻击的系统和攻击者的有效载荷进行交互,或者用户的交互将主动破坏将导致漏洞利用的保护机制。例如: <br>以特定方式将文件导入易受攻击的系统 <br>在执行代码之前将文件放入特定目录中 <br>向 Web 应用程序提交特定字符串(例如,反射或自我 XSS)在采取行动之前驳回或接受提示或安全警告(例如,打开/编辑文件、连接设备)。 |
2.2. 影响指标
影响指标捕获成功利用漏洞的效果。分析师应将影响限制在他们确信攻击者能够实现的合理、最终结果。
在评估漏洞的影响指标时,只应考虑由于成功利用而导致的访问增加、特权获得或其他负面结果。例如,考虑一个漏洞,它需要只读权限才能进行利用。在成功利用后,攻击者保持相同的读取访问权限,并获得写入访问权限。在这种情况下,只应评分完整性影响指标,将机密性和可用性影响指标设置为无。
注意,当对影响变化进行评分时,应使用最终影响。例如,如果攻击者从部分访问受限信息(机密性低)开始,成功利用漏洞导致机密性完全丧失(机密性高),则结果 CVSS 基础指标值应引用“最终结果”影响指标值(机密性高)。
在识别影响指标的值时,评估提供者需要考虑对易受攻击系统和易受攻击系统之外的影响。这些影响由两组影响指标建立:“易受攻击系统影响”和“后续系统影响”。在建立易受攻击系统指标值的边界时,评估提供者应使用感兴趣系统的概念模型。
正式地,评分漏洞的感兴趣系统定义为在具有连贯功能和一组安全策略的环境中执行的计算逻辑集。漏洞存在于这样一个系统的一个或多个组件中。从消费者的角度来看,提供服务或功能的技术产品或解决方案被视为一个系统(例如,服务器、工作站、容器化服务等)。
当一个系统仅向另一个系统提供其功能,或者它被设计为仅由另一个系统使用时,那么它们一起被视为评分的感兴趣系统。例如,仅由智能扬声器使用的数据库被视为该智能扬声器系统的一部分。如果数据库中的漏洞导致智能扬声器出现故障,则数据库和它所服务的智能扬声器都将被视为易受攻击的系统。如果漏洞对易受攻击的系统之外没有影响,评估提供者应将后续系统影响指标设置为无 (N)。
所有发生在易受攻击系统之外的影响都应反映在后续系统影响集中。当仅在环境指标组中评估时,后续系统影响除了为感兴趣系统定义的逻辑系统外,还可以包括对人类的影响。环境指标组中的人类影响选项在下面的安全性 (S) 部分中进一步解释。
2.2.1.机密性 (VC/SC)
此指标测量由于成功利用漏洞而导致的系统管理信息的机密性影响。机密性是指将信息访问和披露限制在仅授权用户,并防止未经授权的用户访问或披露。结果分数在系统损失最大时最高。可能的值在表 6(易受攻击系统)和表 7(当后续系统受到影响时)中列出。
2.2.2. 表 6:易受攻击系统的机密性影响 (VC)
| 指标值 | 描述 |
|---|---|
| 高 (H) | 机密性完全丧失,导致易受攻击系统中的所有信息泄露给攻击者。或者,仅获得对某些受限信息的访问权,但泄露的信息具有直接、严重的影 响。例如,攻击者窃取了管理员密码,或 Web 服务器的私有加密密钥。 |
| 低 (L) | 机密性部分丧失。获得对某些受限信息的访问权,但攻击者无法控制获得的信息,或者损失的数量或种类有限。信息泄露不会对易受攻击的系统造成直接、严重的损失。 |
| 无 (N) | 易受攻击的系统内没有机密性损失。 |
2.2.3. 表 7:后续系统的机密性影响 (SC)
| 指标值 | 描述 |
|---|---|
| 高 (H) | 机密性完全丧失,导致后续系统中的所有资源泄露给攻击者。或者,仅获得对某些受限信息的访问权,但泄露的信息具有直接、严重的影 响。例如,攻击者窃取了管理员密码,或 Web 服务器的私有加密密钥。 |
| 低 (L) | 机密性部分丧失。获得对某些受限信息的访问权,但攻击者无法控制获得的信息,或者损失的数量或种类有限。信息泄露不会对后续系统造成直接、严重的损失。 |
| 无 (N) | 后续系统内没有机密性损失,或者所有机密性影响仅限于易受攻击的系统。 |
2.2.3. 完整性 (VI/SI)
此指标测量成功利用漏洞对完整性的影响。完整性是指信息的可信性和真实性。当攻击者导致系统数据的未经授权修改时,系统的完整性受到影响。完整性还受到系统用户能够否认在系统上下文中采取的关键行动的影响(例如,由于日志记录不足)。
结果分数在对系统的影响最大时最高。可能的值在表 8(易受攻击系统)和表 9(当后续系统受到影响时)中列出。
表 8:易受攻击系统的完整性影响 (VI)
| 指标值 | 描述 |
|---|---|
| 高 (H) | 完整性完全丧失,或完全丧失保护。例如,攻击者能够修改易受攻击系统保护的任何/所有文件。或者,只能修改某些文件,但恶意修改将对易受攻击系统造成直接、严重的后果。 |
| 低 (L) | 可能修改数据,但攻击者无法控制修改的后果,或者修改的数量有限。数据修改不会对易受攻击的系统造成直接、严重的影 响。 |
| 无 (N) | 易受攻击的系统内没有完整性损失。 |
2.2.5 表 9:后续系统的完整性影响 (SI)
| 指标值 | 描述 |
|---|---|
| 高 (H) | 完整性完全丧失,或完全丧失保护。例如,攻击者能够修改后续系统保护的任何/所有文件。或者,只能修改某些文件,但恶意修改将对后续系统造成直接、严重的后果。 |
| 低 (L) | 可能修改数据,但攻击者无法控制修改的后果,或者修改的数量有限。数据修改不会对后续系统造成直接、严重的影 响。 |
| 无 (N) | 后续系统内没有完整性损失,或者所有完整性影响仅限于易受攻击的系统。 |
2.2.6. 可用性 (VA/SA)
此指标测量成功利用漏洞对受影响系统的可用性的影响。虽然机密性和完整性影响指标适用于系统使用的数据(例如,信息、文件)的机密性或完整性损失,此指标指受影响系统的可用性本身的损失,例如网络服务(例如,Web、数据库、电子邮件)。由于可用性是指信息资源的可访问性,消耗网络带宽、处理器周期或磁盘空间的攻击都会影响系统的可用性。结果分数在对系统的影响最大时最高。可能的值在表 10(易受攻击系统)和表 11(当后续系统受到影响时)中列出。
2.2.7. 表 10:易受攻击系统的可用性影响 (VA)
| 指标值 | 描述 |
|---|---|
| 高 (H) | 可用性完全丧失,导致攻击者能够完全拒绝易受攻击系统的资源访问;这种损失要么是持续的(只要攻击者继续进行攻击),要么是持久的(即使攻击完成后条件仍然存在)。或者,攻击者具有拒绝某些可用性的能力,但可用性的损失对易受攻击系统造成直接、严重的后果(例如,攻击者无法破坏现有连接,但可以阻止新连接;攻击者可以反复利用漏洞,每次成功攻击都会泄露少量内存,但反复利用后会导致服务完全不可用)。 |
| 低 (L) | 性能降低或资源可用性中断。即使可以反复利用漏洞,攻击者也无法完全拒绝合法用户的服 务。易受攻击系统中的资源要么始终部分可用,要么有时完全可用,但总体上对易受攻击的系统没有直接、严重的后果。 |
| 无 (N) | 易受攻击的系统内没有可用性影响。 |
2.2.8. 表 11:后续系统的可用性影响 (SA)
| 指标值 | 描述 |
|---|---|
| 高 (H) | 可用性完全丧失,导致攻击者能够完全拒绝后续系统的资源访问;这种损失要么是持续的(只要攻击者继续进行攻击),要么是持久的(即使攻击完成后条件仍然存在)。或者,攻击者具有拒绝某些可用性的能力,但可用性的损失对后续系统造成直接、严重的后果(例如,攻击者无法破坏现有连接,但可以阻止新连接;攻击者可以反复利用漏洞,每次成功攻击都会泄露少量内存,但反复利用后会导致服务完全不可用)。 |
| 低 (L) | 性能降低或资源可用性中断。即使可以反复利用漏洞,攻击者也无法完全拒绝合法用户的服 务。后续系统中的资源要么始终部分可用,要么有时完全可用,但总体上对后续系统没有直接、严重的后果。 |
| 无 (N) | 后续系统内没有可用性影响,或者所有可用性影响仅限于易受攻击的系统。 |
3. 威胁指标
3.1. 利用成熟度 (E)
此指标衡量漏洞被攻击的可能性,基于利用技术、利用代码的可用性或活跃的“在野”利用的当前状态。易于使用的利用代码或利用指令的公开可用性通过包括无技能的人增加了潜在攻击者的数量。最初,现实世界的利用可能只是理论上的。可能会发布概念验证利用代码、功能利用代码或利用漏洞所需的足够技术细节。此外,可用的利用代码或指令可能会从概念验证演示进展到能够始终如一地利用漏洞的利用代码。在严重情况下,它可能作为基于网络的蠕虫或病毒或其他自动化攻击工具的有效载荷交付。
CVSS 消费者有责任根据有关利用代码/过程的可用性和利用技术的状态的信息来填充利用成熟度 (E) 的值。本文档将此信息称为“威胁情报”。
操作建议:应优先选择提供所有漏洞的利用成熟度信息的威胁情报源,而不是仅提供部分覆盖的源。此外,建议使用多种威胁情报源,因为许多情报源并不全面。此信息应尽可能频繁地更新,并应将其应用于 CVSS 评估的自动化。
可能的值列表如表 12 所示。漏洞越容易被利用,漏洞分数越高。
表 12:利用成熟度
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 没有可靠的威胁情报可以确定利用成熟度特征。这是默认值,在计算分数时假设最坏情况,等同于被攻击 (A)。 |
| 被攻击 (A) | 根据可用的威胁情报,适用以下任一情况: <br>已报告针对此漏洞的攻击(尝试或成功) <br>简化利用此漏洞的尝试的解决方案公开或私下可用(例如,利用工具包) |
| 概念验证 (P) | 根据可用的威胁情报,适用以下所有情况: <br>概念验证利用代码公开可用 <br>没有关于利用此漏洞的攻击报告 <br>没有关于简化利用此漏洞的尝试的公开可用解决方案(即,“被攻击”值不适用) |
| 未报告 (U) | 根据可用的威胁情报,适用以下所有情况: <br>没有关于公开可用的概念验证利用代码的知识 <br>没有关于利用此漏洞的攻击报告 <br>没有关于简化利用此漏洞的尝试的公开可用解决方案(即,既不适用“POC”也不适用“被攻击”值) |
4. 环境指标
4.1. 机密性、完整性和可用性要求 (CR, IR, AR)
这些指标使消费者能够根据分析师的组织中受影响的 IT 资产的重要性来定制评估,衡量标准是到位的互补/替代安全控制、机密性、完整性和可用性。也就是说,如果一个 IT 资产支持一个业务功能,其可用性最为重要,分析师可以相对于机密性和完整性为可用性指标分配更高的值。每个安全要求有三个可能的值:低、中或高,或默认值未定义 (X)。
环境分数的全部影响由相应的修改后基础影响指标确定。遵循“合理最坏情况”的概念,在没有明确值的情况下,这些指标被设置为默认值未定义 (X),等同于指标值高 (H)。
可能的值在表 13 中列出。为了简洁起见,同一张表用于所有三个指标。安全要求越低,分数越低(记住高被视为默认值)。
表 13:安全要求
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 这是默认值。分配此值表示没有足够的信息来选择其他值。这与分配高作为最坏情况有相同的效果。 |
| 高 (H) | 丧失机密性∥完整性∥可用性很可能对组织或与组织相关的个人(例如,员工、客户)造成灾难性的不利影响。 |
| 中 (M) | 丧失机密性∥完整性∥可用性很可能对组织或与组织相关的个人(例如,员工、客户)造成严重的不利影响。 |
| 低 (L) | 丧失机密性∥完整性∥可用性很可能仅对组织或与组织相关的个人(例如,员工、客户)造成有限的不利影响。 |
4.2. 修改后的基础指标
这些指标使消费者分析师能够根据用户环境的具体特征覆盖个别基础指标值。影响可利用性或影响的特征可以通过适当修改后的环境指标值来反映。
结果分数的全部影响由相应的基础指标如下确定:
如果修改后的基础指标未定义 (X),分数的计算将使用原始基础指标的值。
如果定义了修改后的基础指标值,那么在计算指标时,基础指标值将被修改后的基础指标值替换。
例如:如果提供者将基础指标特权要求设置为低 (PR:L),而分析师将修改后的特权要求覆盖为高 (MPR:H),则结果分数将像基础指标特权要求被设置为高一样进行计算。同样,如果提供者将基础指标攻击向量设置为网络 (AV:N),而分析师将修改后的攻击向量设置为物理 (MAV:P),则结果分数将像基础攻击向量被设置为物理一样进行计算。
修改后基础指标的一个特殊规则适用于修改后的后续系统完整性和修改后的后续系统可用性,它们可以设置为补充值安全性 (S),该值不包含在基础后续系统影响指标中。在这种情况下,特殊值将直接用于分数的计算,如下文第 4.2.1 节所述。
这些指标的目的是定义给定环境中已到位的缓解措施和补偿控制。使用修改后的指标来表示增加结果分数的情况是可以接受的。这里有一些例子:
示例 1:组件的默认配置可能需要高特权才能访问特定功能。然而,在消费者分析师的环境中,可能默认授予用户管理特权而无需身份验证。分析师可以将特权要求设置为高,将修改后的特权要求设置为无,以反映他们特定环境中的更严重情况。
示例 2:易受攻击的系统的默认配置可能是以管理员特权运行监听服务,其被利用可能导致攻击者对机密性、完整性和可用性的影响均为高。然而,在消费者分析师的环境中,该相同的 Internet 服务可能以降低的特权运行;在这种情况下,修改后的机密性、修改后的完整性和修改后的可用性可能分别设置为低。
示例 3:位于没有 Internet 访问的隔离网络中的系统和设备无法通过广域网 (WAN) 遭受攻击。在这些系统上发现的所有漏洞都可以将“网络”攻击向量 (AV) 值降低为“相邻”。
为了简洁起见,只提到了修改后的基础指标的名称。每个修改后的环境指标与相应的基础指标具有相同的值,加上未定义和安全性的值。未定义是默认值,使用关联基础指标的值。
4.2.1. 修改后的基础指标和安全性
当系统由于其部署方式或位置可能具有安全性影响时,利用该系统中的漏洞可能具有安全性影响,这可以在环境指标组中表示。
如果利用技术漏洞(对易受攻击系统的可用性或完整性产生影响)有可能影响人类安全,应使用修改后的后续系统影响的安全性 (s)(即,MSI:S/MSA/S)。
安全性指标值衡量由于漏洞被利用而导致的人类参与者受伤的影响。与其他影响指标值不同,安全性只能与后续系统影响集相关联,并应考虑在内,除了可用性和完整性的 N/L/H 影响值。
注意:如果适用安全性,即使已为可用性和完整性指标提供了 H 影响值,也应明确分配安全性。
当可以预测被利用的漏洞可能导致使用 IEC 61508 定义的边际或更严重的伤害时,适用安全性影响,如下表所示。
表 14:IEC 61508 定义
| 类别 | 定义 |
|---|---|
| 灾难性 | 多人丧命 |
| 严重 | 单人丧命 |
| 边际 | 一人或多人重伤 |
| 可忽略 | 仅轻伤 |
注意:安全性指标值在补充指标组(由评估提供者提供)和环境指标组(由消费者分析师提供)中都有定义。可能的值如下。
表 15:修改后的基础指标
| 修改后的基础指标 | 对应值 |
|---|---|
| 修改后的攻击向量 (MAV) | 与相应的基础指标(见上文基础指标)具有相同的值,以及未定义(默认值)。注意: 对于 MSC、MSI 和 MSA,最低指标值是“可忽略” (N),而不是“无” (N)。 |
| 修改后的攻击复杂性 (MAC) | |
| 修改后的攻击要求 (MAT) | |
| 修改后的特权要求 (MPR) | |
| 修改后的用户交互 (MUI) | |
| 修改后的易受攻击系统机密性 (MVC) | |
| 修改后的易受攻击系统完整性 (MVI) | |
| 修改后的易受攻击系统可用性 (MVA) | |
| 修改后的后续系统机密性 (MSC) | |
| 修改后的后续系统完整性 (MSI) | 除了与相应的基础指标(高、中、低)具有相同的值外,还有一个最高严重性级别,安全性 (S)。默认值为未定义 (X)。 |
| 修改后的后续系统可用性 (MSA) |
一个新的、可选的指标组称为补充指标组,提供了描述和测量漏洞的额外外在属性的新指标。虽然补充指标的评估由提供者提供,但补充指标组中每个指标的使用和响应计划由消费者确定。这些上下文信息可能在每个消费者的环境中以不同的方式使用。任何指标都不会对最终计算的 CVSS 分数(例如 CVSS-BTE)产生影响。组织可以为每个指标或指标组合分配重要性和/或有效影响,使其对最终风险分析的分类、优先级和评估产生更多、更少或绝对没有影响。指标和值将仅传达漏洞本身的额外外在特征。
5. 补充指标
5.1. 安全性 (S)
与所有补充指标一样,提供安全性值是完全可选的。供应商和厂商(即:评分提供者)可以根据自己的意愿提供或不提供安全性作为补充指标。
当一个系统具有与安全性一致的预期用途或适用性时,利用该系统中的漏洞可能具有安全性影响,这可以表示在补充指标组中。未提供安全性指标值并不意味着没有与安全性相关的任何影响。补充指标组中安全性的可能值如下:
表 16:安全性
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 该指标尚未评估。 |
| 存在 (P) | 漏洞的后果符合 IEC 61508 后果类别的“边际”、“严重”或“灾难性”。 |
| 可忽略 (N) | 漏洞的后果符合 IEC 61508 后果类别“可忽略”。 |
安全性补充指标值表明由于漏洞被利用而导致的人类参与者受伤的程度。
注意:安全性指标在环境和补充上下文中都有定义,尽管向量字符串值不同。作为补充指标,与上表一致,安全性可以用指标值 S:X、S:P 或 S:N 来描述。
IEC 61508 后果类别在上文表 14 中定义(截至本文撰写时)。
5.2. 可自动化 (AU)
“可自动化”指标回答了“攻击者是否可以跨多个目标自动化利用事件?”的问题,基于杀伤链的步骤 1-4 [Hutchins et al., 2011]。这些步骤是侦察、武器化、交付和利用。如果进行了评估,该指标可以取是或否的值:
表 17:可自动化
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 该指标尚未评估。 |
| 否 (N) | 由于某种原因,攻击者无法可靠地自动化此漏洞的杀伤链所有 4 个步骤。这些步骤是侦察、武器化、交付和利用。 |
| 是 (Y) | 攻击者可以可靠地自动化杀伤链的所有 4 个步骤。这些步骤是侦察、武器化、交付和利用(例如,该漏洞是“可蠕虫化的”)。 |
5.3. 提供者紧急程度 (U)
许多厂商目前通过产品安全公告向消费者提供补充严重性评级。其他厂商在其公告中发布 CVSS 规范文档中的定性严重性评级。
为了促进标准化方法以纳入提供者提供的额外评估,提供了一个可选的“直通”补充指标,称为提供者紧急程度。
注意: 产品供应链中的任何评估提供者都可能提供提供者紧急程度评级:
库维护者 → 操作系统/发行版维护者 → 提供者 1 … 提供者 n (PPP) → 消费者
最终产品提供者 (PPP) 最适合直接评估提供者紧急程度。
表 18:提供者紧急程度
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 该指标尚未评估。 |
| 红色 | 提供者已评估此漏洞的影响,认为其具有最高紧急程度。 |
| 橙色 | 提供者已评估此漏洞的影响,认为其具有中等紧急程度。 |
| 绿色 | 提供者已评估此漏洞的影响,认为其紧急程度较低。 |
| 无色 | 提供者已评估此漏洞的影响,认为其没有紧急程度(信息性)。 |
5.4. 恢复能力 (R)
恢复能力描述了系统在遭受攻击后恢复服务的能力,就性能和可用性而言。
表 19:恢复能力
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 该指标尚未评估。 |
| 自动 (A) | 系统在遭受攻击后自动恢复服务。 |
| 用户 (U) | 系统在遭受攻击后需要用户手动干预才能恢复服务。 |
| 不可恢复 (I) | 系统服务在遭受攻击后无法由用户恢复。 |
5.5. 价值密度 (V)
价值密度描述了攻击者通过单次利用事件将获得控制的资源。它有两个可能的值,分散和集中:
表 20:价值密度
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 该指标尚未评估。 |
| 分散 (D) | 易受攻击的系统资源有限。也就是说,攻击者通过单次利用事件获得控制的资源相对较少。例如,对单个电子邮件客户端漏洞的攻击。 |
| 集中 (C) | 易受攻击的系统资源丰富。启发式地,这些系统通常是“系统操作员”而非用户的直接责任。例如,对中央电子邮件服务器的攻击。 |
5.6. 漏洞响应工作量 (RE)
漏洞响应工作量指标的目的是提供补充信息,说明消费者在基础设施中部署产品和服务的漏洞影响的初始响应有多困难。消费者可以在应用缓解措施和/或安排补救措施时考虑此额外信息。
在计算漏洞响应工作量时,应考虑部署最快的可用响应所需的工作量。
表 21:漏洞响应工作量
| 指标值 | 描述 |
|---|---|
| 未定义 (X) | 该指标尚未评估。 |
| 低 (L) | 响应漏洞所需的工作量很低/微不足道。例如:关于更好文档的沟通、配置变通方法,或供应商的指导不需要由消费实体立即更新、升级或更换,例如防火墙过滤器配置。 |
| 中等 (M) | 响应漏洞所需的操作需要消费者做些工作,可能会对服务产生最小影响。例如:简单的远程更新、禁用子系统,或低接触的软件升级,如驱动程序更新。 |
| 高 (H) | 响应漏洞所需的操作很重要且困难,可能会导致计划中的延长服务影响。这需要考虑在安排中,包括尊重所选响应的任何禁运。或者,现场的漏洞响应不可能远程进行。漏洞的唯一解决方案涉及物理更换(例如,部署的单元必须召回进行仓库级维修或更换)。例如:高度特权的驱动程序更新、微代码或 UEFI BIOS 更新,或需要在实施前仔细分析和理解任何潜在基础设施影响的软件升级。最近的一个好例子是影响可信平台模块 (TPM) 认证但不影响磁盘加密软件(如 Bit locker)的 UEFI BIOS 更新。不可修复的故障,如不可启动的闪存子系统、故障磁盘或固态驱动器 (SSD)、坏内存模块、网络设备或其他在保修期内无法恢复的硬件,也应评分为此工作量高。 |
6. 定性严重性评级尺度
对于某些目的,具有数值基础、威胁和环境分数的文本表示很有用。无论名称如何,所有 CVSS 分数都可以映射到表 22 中定义的定性评级。
表 22:定性严重性评级尺度
| 评级 | CVSS 分数 |
|---|---|
| 无 | 0.0 |
| 低 | 0.1 - 3.9 |
| 中 | 4.0 - 6.9 |
| 高 | 7.0 - 8.9 |
| 严重 | 9.0 - 10.0 |
例如,CVSS 基础分数为 5.0 的相关严重性评级为中等。使用这些定性严重性评级是可选的,发布 CVSS 分数时没有要求必须包含它们。它们旨在帮助组织正确评估和优先级其漏洞管理流程。
7. 向量字符串
CVSS v4.0 向量字符串是 CVSS 指标的文本表示。它通常用于以简洁且机器可读的形式记录或传输 CVSS 指标信息。
CVSS v4.0 向量字符串以标签“CVSS:”开头,后跟当前版本的数字表示“4.0”。指标信息随后以一组指标的形式出现,每个指标前斜杠“/”作为分隔符。每个指标是指标名称的缩写形式、冒号(“:”)及其关联指标值的缩写形式。缩写形式在本文档中前面有定义(每个指标名称和指标值后面的括号内,区分大小写),并总结在下表中。
向量字符串必须包含表 23 中所示顺序的指标,任何其他顺序都是无效的。所有基础指标必须包含在向量字符串中。威胁、环境和补充指标是可选的,未包含的指标被视为未定义 (X)。如果需要,可以显式包含值为未定义的指标。生成或使用 CVSS v4.0 向量字符串的系统必须按照以下顺序进行操作,并将未指定的威胁、环境和补充指标视为未定义。向量字符串不得包含同一指标多次。
表 23:基础、威胁和环境向量
| 指标组 | 指标名称(及缩写形式) | 可能值 | 必需? |
|---|---|---|---|
| 基础 | 攻击向量 (AV) | N,A,L,P | 是 |
| - | 攻击复杂性 (AC) | L,H | 是 |
| - | 攻击要求 (AT) | N,P | 是 |
| - | 特权要求 (PR) | N,L,H | 是 |
| - | 用户交互 (UI) | N,P,A | 是 |
| - | 易受攻击系统机密性影响 (VC) | H,L,N | 是 |
| - | 易受攻击系统完整性影响 (VI) | H,L,N | 是 |
| - | 易受攻击系统可用性影响 (VA) | H,L,N | 是 |
| - | 后续系统机密性影响 (SC) | H,L,N | 是 |
| - | 后续系统完整性影响 (SI) | H,L,N | 是 |
| - | 后续系统可用性影响 (SA) | H,L,N | 是 |
| 威胁 | 利用成熟度 (E) | X,A,P,U | 否 |
| 环境 | 机密性要求 (CR) | X,H,M,L | 否 |
| - | 完整性要求 (IR) | X,H,M,L | 否 |
| - | 可用性要求 (AR) | X,H,M,L | 否 |
| - | 修改后的攻击向量 (MAV) | X,N,A,L,P | 否 |
| - | 修改后的攻击复杂性 (MAC) | X,L,H | 否 |
| - | 修改后的攻击要求 (MAT) | X,N,P | 否 |
| - | 修改后的特权要求 (MPR) | X,N,L,H | 否 |
| - | 修改后的用户交互 (MUI) | X,N,P,A | 否 |
| - | 修改后的易受攻击系统机密性 (MVC) | X,N,L,H | 否 |
| - | 修改后的易受攻击系统完整性 (MVI) | X,N,L,H | 否 |
| - | 修改后的易受攻击系统可用性 (MVA) | X,N,L,H | 否 |
| - | 修改后的后续系统机密性 (MSC) | X,N,L,H | 否 |
| - | 修改后的后续系统完整性 (MSI) | X,N,L,H,S | 否 |
| - | 修改后的后续系统可用性 (MSA) | X,N,L,H,S | 否 |
| 补充 | 安全性 (S) | X,N,P | 否 |
| - | 可自动化 (AU) | X,N,Y | 否 |
| - | 恢复能力 (R) | X,A,U,I | 否 |
| - | 价值密度 (V) | X,D,C | 否 |
| - | 漏洞响应工作量 (RE) | X,L,M,H | 否 |
| - | 提供者紧急程度 (U) | X,Clear,Green,Amber,Red | 否 |
例如,一个具有以下基础指标值的漏洞:
攻击向量:网络
攻击复杂性:低
攻击要求:无
特权要求:高
用户交互:无
易受攻击系统机密性:低
易受攻击系统完整性:低
易受攻击系统可用性:无
无后续系统影响(机密性/完整性/可用性),
且未指定威胁或环境指标将产生以下向量:
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
同样的示例,加上利用成熟度:被攻击将产生以下向量:
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:A
以下是有效的 CVSS v4.0 向量示例,附简短说明:
CVSS-BT 示例向量字符串
CVSS:4.0/AV:A/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:P
CVSS-BE 示例向量字符串
CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:A/VC:N/VI:N/VA:L/SC:H/SI:H/SA:H/CR:H/IR:H/AR:M/MAV:N/MAC:L/MAT:P/MPR:L/MUI:A/MVC:N/MVI:H/MVA:L/MSC:L/MSI:S/MSA:H
带有补充的 CVSS-B 示例向量字符串
CVSS:4.0/AV:P/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:A/S:P/AU:Y/R:A/V:D/RE:L/U:Red
带有补充的 CVSS-BTE 示例向量字符串
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/CR:L/IR:X/AR:L/MAV:A/MAC:H/MAT:N/MPR:N/MUI:P/MVC:X/MVI:N/MVA:H/MSC:N/MSI:L/MSA:S/S:N/AU:N/R:I/V:C/RE:H/U:Green
以下是无效的向量,附简短解释:
“F” 不是 “AV” 的有效值
CVSS:4.0/AV:F/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
“E” 指标定义了多次
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N/E:A/E:X
“ui” 不是有效的指标缩写
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/ui:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
缺少 CVSS v4.0 前缀
AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
缺少必需指标 “VA”
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/SC:N/SI:N/SA:N
未按固定顺序排列(CVSS-BTE 带补充)
CVSS:4.0/AC:L/AV:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/CR:L/IR:X/AR:L/RE:H/MAV:A/MAC:H/MAT:N/MPR:N/MUI:P/AT:N/MVC:X/MVI:N/MVA:H/MSC:N/MSI:L/MSA:S/E:U/S:N/AU:N/R:I/V:C/U:Green
8. CVSS v4.0 评分
CVSS v4.0 评分方法在下文的子部分中描述。
8.1. 新评分系统开发
CVSS v4.0 的评分系统开发包括以下广泛步骤:
使用指标组将 1500 万个 CVSS-BTE 向量聚集到 270 个不相交的等价集中,这些等价集在定性严重性上具有可比性。
征求专家比较代表每个等价集的向量。
使用专家比较数据计算从最不严重到最严重的向量顺序。
征求专家意见,以确定在向量顺序中哪个等价集代表定性严重性评分的边界,以与 CVSS v3.x 的定性严重性评分边界向后兼容。
将每个定性严重性箱中的等价向量集压缩到该箱中可用分数的数量(例如,严重为 9.0 到 10.0,高为 7.0 到 8.9,等等)。
创建一个小的分数修改因子,以调整在定性等价集内的向量的分数,使得任何指标值的变化都会导致结果分数的变化,如果可能的话。意图是分数变化不大于从步骤 2 中收集的专家比较数据中排名的不确定性。这在下文第 8.2 节中进一步讨论。
关于 CVSS v4.0 中开发的新评分计算方法的更多信息,可以在 CVSS v4.0 用户指南的第 2.5 节中找到。
8.2. 使用 MacroVectors 和插值的 CVSS v4.0 评分
CVSS v4.0 公式提供了所有可能的指标组合的数学近似,按严重性顺序排名,其中向量被聚类在称为MacroVectors的集中。MacroVector 是 CVSS 向量的一个集合,专家评估过程(第 8.1 节中描述的步骤 1-3)确定它们在定性严重性上是相当的。每个 MacroVector 构成从这种定性角度来看的一个等价类。
MacroVector 的分数由上文提到的主题专家过程中定义的查找表定义,并在第 8.3 节中指定。每个 MacroVector 中的向量的分数由插值定义。
为了确定相关 MacroVectors 的初步集合,SIG 确定了以下初步指标子组。可以确定更多的 EQ 或级别以获得更精细的分辨率。
EQ1 → AV/PR/UI,表 24 中指定了 3 个级别
EQ2 → AC/AT,表 25 中指定了 2 个级别
EQ3 → VC/VI/VA,表 26 中指定了 3 个级别
EQ4 → SC/SI/SA,表 27 中指定了 3 个级别
EQ5 → E,表 28 中指定了 3 个级别
EQ6 → VC/VI/VA+CR/CI/CA,表 29 中指定了 2 个级别
直观地,每个指标子组的每个级别对应不同的严重性级别,零是最严重的,一或二是最不严重的。
由于 EQ3 和 EQ6 不独立,它们必须一起考虑
EQ3+EQ6 → 表 30 中确定了 5 个级别
MacroVector 的最高严重性向量是一个向量,它满足 MacroVector 的成员资格的布尔条件,并且没有其他 MacroVector 中的向量在至少一个指标中具有更高的严重性。
MacroVector 的最低严重性向量以类似的方式确定。
一个 MacroVector 可能有多个最高严重性向量和多个最低严重性向量。例如,满足 EQ1 在级别 1 的 MacroVectors 将具有以下最高严重性向量:
AV:A/PR:N/UI:N 或 AV:N/PR:L/UI:N 或 AV:N/PR:N:/UI:P
因为它们都满足表 24 中指定的约束。
(AV:N 或 PR:N 或 UI:N) 并且
因为我们有 AV:A/PR: N/UI: N,AV: N/PR:L/UI: N,
AV: N/PR: N:/UI:P
不是 (AV:N 并且 PR:N 并且 UI:N) 并且
因为我们有 AV: A/PR:N/UI:N,AV:N/PR: L/UI:N,AV:N/PR:N:/UI: P
不是 AV:P
因为我们有 AV: A/PR:N/UI:N,AV: N/PR:L/UI:N,AV: N/PR:N:/UI:P
表 24:EQ1 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 0 | AV:N 并且 PR:N 并且 UI:N | AV:N/PR:N/UI:N |
| 1 | (AV:N 或 PR:N 或 UI:N) 并且不是 (AV:N 并且 PR:N 并且 UI:N) 并且不是 AV:P | AV:A/PR:N/UI:N 或 AV:N/PR:L/UI:N 或 AV:N/PR:N:/UI:P |
| 2 | AV:P 或不是 (AV:N 或 PR:N 或 UI:N) | AV:P/PR:N/UI:N 或 AV:A/PR:L/UI:P |
表 25:EQ2 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 0 | AC:L 并且 AT:N | AC:L/AT:N |
| 1 | 不是 (AC:L 并且 AT:N) | AC:L/AT:P 或 AC:H/AT:N |
表 26:EQ3 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 0 | VC:H 并且 VI:H | VC:H/VI:H/VA:H |
| 1 | 不是 (VC:H 并且 VI:H) 并且 (VC:H 或 VI:H 或 VA:H) | VC:L/VI:H/VA:H 或 VC:H/VI:L/VA:H |
| 2 | 不是 (VC:H 或 VI:H 或 VA:H) | VC:L/VI:L/VA:L |
表 27:EQ4 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 0 | MSI:S 或 MSA:S | SC:H/SI:S/SA:S |
| 1 | 不是 (MSI:S 或 MSA:S) 并且 (SC:H 或 SI:H 或 SA:H) | SC:H/SI:H/SA:H |
| 2 | 不是 (MSI:S 或 MSA:S) 并且不是 (SC:H 或 SI:H 或 SA:H) | SC:L/SI:L/SA:L |
如果 MSI=X 或 MSA=X,它们将根据第 4.2 节(见表 15)中修改后的基础指标规则默认为相应的 SI 和 SA 值。因此,如果没有修改后的基础指标,EQ4 可以达到的最高值是 1。
表 28:EQ5 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 0 | E:A | E:A |
| 1 | E:P | E:P |
| 2 | E:U | E:U |
如果 E=X,它将默认为最坏情况(即,E=A)。
表 29:EQ6 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 0 | (CR:H 并且 VC:H) 或 (IR:H 并且 VI:H) 或 (AR:H 并且 VA:H) | VC:H/VI:H/VA:H/CR:H/IR:H/AR:H |
| 1 | 不是 (CR:H 并且 VC:H) 并且不是 (IR:H 并且 VI:H) 并且不是 (AR:H 并且 VA:H) | VC:H/VI:H/VA:H/CR:M/IR:M/AR:M 或 VC:H/VI:H/VA:L/CR:M/IR:M/AR:H 或 VC:H/VI:L/VA:H/CR:M/IR:H/AR:M 或 VC:H/VI:L/VA:L/CR:M/IR:H/AR:H 或 VC:L/VI:H/VA:H/CR:H/IR:M/AR:M 或 VC:L/VI:H/VA:L/CR:H/IR:M/AR:H 或 VC:L/VI:L/VA:H/CR:H/IR:H/AR:M 或 VC:L/VI:L/VA:L/CR:H/IR:H/AR:H |
如果 CR=X,IR=X 或 AR=X,它们将默认为最坏情况(即,CR=H,IR=H 和 AR=H)。
表 30:联合 EQ3+EQ6 - MacroVectors
| 级别 | 约束 | 最高严重性向量 |
|---|---|---|
| 00 | VC:H 并且 VI:H 并且 CR:H或IR:H或(AR:H并且VA:H) | VC:H/VI:H/VA:H/CR:H/IR:H/AR:H |
| 01 | VC:H 并且 VI:H 并且不是 (CR:H 或 IR:H) 并且不是 (AR:H 并且 VA:H) | VC:H/VI:H/VA:H/CR:M/IR:M/AR:M 或 VC:H/VI:H/VA:L/CR:M/IR:M/AR:H |
| 10 | 不是 (VC:H 并且 VI:H) 并且 (VC:H 或 VI:H 或 VA:H) 并且 (CR:H并且VC:H)或(IR:H并且VI:H)或(AR:H并且VA:H) | VC:L/VI:H/VA:H/CR:H/IR:H/AR:H 或 VC:H/VI:L/VA:H/CR:H/IR:H/AR:H |
| 11 | 不是 (VC:H 并且 VI:H) 并且 (VC:H 或 VI:H 或 VA:H) 并且 不是(CR:H并且VC:H)并且不是(IR:H并且VI:H)并且不是(AR:H并且VA:H) | VC:H/VI:L/VA:H/CR:M/IR:H/AR:M 或 VC:H/VI:L/VA:L/CR:M/IR:H/AR:H 或 VC:L/VI:H/VA:H/CR:H/IR:M/AR:M 或 VC:L/VI:H/VA:L/CR:H/IR:M/AR:H 或 VC:L/VI:L/VA:H/CR:H/IR:H/AR:M |
| 20 | 不是 (VC:H 或 VI:H 或 VA:H) 并且 (CR:H并且VC:H)或(IR:H并且VI:H)或(AR:H并且VA:H) | 无法存在 |
| 21 | 不是 (VC:H 或 VI:H 或 VA:H) 并且不是 (CR:H 并且 VC:H) 并且不是 (IR:H 并且 VI:H) 并且不是 (AR:H 并且 VA:H) | VC:L/VI:L/VA:L/CR:H/IR:H/AR:H |
给定两个向量,它们之间的严重性距离是根据第 2 节中指定的顺序,将一个向量转换为另一个向量所需的连续逐个指标变化的次数。
例如,一个具有 VC:H/VI:H/VA:H 的向量与一个在其他方面相同的向量 VC:H/VI: L/VA: N 的严重性距离为 3
VC:H/VI:H/VA:H → VC:H/VI: L/VA:H → VC:H/VI: L/VA: L → VC:H/VI: L/VA: N
MacroVector 的深度是最高严重性向量和最低严重性向量之间的最大严重性距离。
通过图形可视化可以更好地理解深度的概念。例如,考虑 EQ3=2,它在表 26 中定义为所有指标值,使得不是 (VC=H 或 VI=H 或 VA=H)。图 2 显示了该 MacroVector 中的 VC、VI 和 VA 的所有指标值,从最高严重性向量 (VC:L/VI:L/VA:L) 到最低严重性向量 (VC:N/VI:N/VA:N)。
图 2:包含 EQ3=2 的 MacroVector 中的向量,其他条件不变。
MacroVector 的最高严重性向量始终被分配 GitHub 上的 CVSS v4.0 计算器参考实现中的 cvss_lookup.js 文件中的 MacroVector 分数(见第 8.3 节)。
MacroVector 中的向量被分配的分数是该 MacroVector 中最高严重性向量的分数减去从其下方 MacroVectors 计算得出的平均比例距离。
这是通过以下算法获得的:
对于每个 EQ:
确定当前 MacroVector 和较低 MacroVector 之间的最大评分差异。
如果没有较低 MacroVector,则将可用距离设置为 NaN,然后在进一步计算中忽略。
确定待评分向量与相同 MacroVector 中的最高严重性向量之间的严重性距离。
通过将待评分向量的严重性距离除以 MacroVector 的深度来确定距离的比例。
将最大评分差异乘以距离的比例。
计算上述计算得出的比例距离的平均值。
向量的分数是 MacroVector 的分数(即最高严重性向量的分数)减去计算得出的平均距离。该分数四舍五入到小数点后一位。
8.3. 所有 MacroVectors 的评分
GitHub 上的 CVSS v4.0 计算器参考实现中的 cvss_lookup.js 文件中可以找到所有 MacroVectors 及其关联分数的完整列表:
https://github.com/FIRSTdotorg/cvss-v4-calculator/blob/main/cvss_lookup.js
9. 附录 A - 致谢
FIRST 深切感谢以下 CVSS 特别兴趣小组 (SIG) 成员的贡献,按姓氏字母顺序列出:
Abdulhamid Adebayo, IBM
Srividya Ananth, 国家标准与技术研究院 (NIST)
Chandan BN, Palo Alto Networks
Feng Cao, Oracle
Francesco Casotto, Cisco
Matthew Coles, Dell Technologies
Khushali Dalal, Juniper Networks
Giorgio Di Tizio, 特伦托大学
Dave Dugal, Juniper Networks
Karan Dwivedi, Google
Ben Edwards, Cyentia
Troy Fridley, Acuity Brands
Jeff Heller, 桑迪亚国家实验室
Adrian Henrick
Allen Householder, CERT/CC
Miguel Hummel, 花旗银行
Fabrice Kah, 施耐德电气
Stav Kaufman, Skybox Security
Austin Kimbrell, Red Hat
Toby Kohlenberg, Intel
Jim Kohli, GE Healthcare
Stanislav Kontar, Red Hat
Milind Kulkarni, 爱立信
Arkadeep Kundu, Cisco
Nick Leali, Cisco
Fábio Olivé Leite, Red Hat
Angela Lindberg, SAP
Kumar Mangipudi
Art Manion, ANALYGENCE Labs
Fabio Massacci, 特伦托大学和阿姆斯特丹自由大学
Peter Mell, 国家标准与技术研究院 (NIST)
Bruce Monroe, Intel
Vivek Nair, Microsoft
Phillip Nordwall, Dell Technologies
Margaux Pagano, 花旗银行
Wilfried Pascault, CERT Orange Cyberdefense
Francisco Luis de Andres Perez, IriusRisk
Diana Prusova, Accenture Security
Marián Rehák, Red Hat
Dale Rich, Black & Veatch
Melinda Rosario
Zach Shue, Kiewit
Daniel Sommerfeld, Microsoft
Jonathan Spring, 基础设施安全局 (CISA)
Janane Suresh, Oracle
Masato Tereada
Matt Tesauro
Lucas Tesson
Christopher Turner, 国家标准与技术研究院 (NIST)
Laurie Tyzenhaus, CERT/CC
Akshat Vaid, Juniper Networks
Richard Wilkins, Phoenix Technologies, Inc.
FIRST 也感谢 CAPS, LLC. 的 Grace Staley 她不知疲倦地协助 CVSS SIG 会议。
10. 附录 B - 在线资源
CVSS v4.0 主页 - Common Vulnerability Scoring System
所有 CVSS 资源的主要网页,包括 CVSS 标准的最新版本。
CVSS v4.0 规范文档 - CVSS v4.0 Specification Document
本文档的最新修订版,定义了指标、公式、定性评分尺度和向量字符串。
CVSS v4.0 用户指南 - CVSS v4.0 User Guide
作为规范的补充,用户指南进一步讨论了 CVSS 标准,包括特定用例、评分指南、评分标准和规范及用户指南中使用的术语词汇表。
CVSS v4.0 示例文档 - CVSS v4.0 Examples
包括公共漏洞的分数和为什么选择特定指标值的解释。
CVSS v4.0 计算器 - Common Vulnerability Scoring System Version 4.0 Calculator
CVSS 标准的参考实现,可用于生成分数。底层代码已记录,可以作为其他实现的一部分使用。
JSON 和 XML 模式 - Common Vulnerability Scoring System Data Representations
CVSS 指标、分数和向量字符串的 JSON 模式和 XML 模式定义(XSD)表示。这些可以用来以定义的 JSON 和 XML 格式存储和传输 CVSS 信息。
11. 版本历史
| 日期 | 版本 | 描述 |
|---|---|---|
| 2023-11-01 | v1.0 | 初始发布 |
| 2023-11-09 | v1.1 | 修正影响指标顺序 修正用户指南第 2.5 节的引用 |
| 2024-06-18 | v1.2 | 修正第 2.2.3 节表 7 中的无指标 |