CVSS - Common Vulnerability Scoring System (Parte 2)

Métricas de Explotabilidade (Exploitability Metrics)

Attack Vector (AV) (CVSS-B): representa a origem do ataque:

    - Network (N): o ataque pode ser realizado através da internet ou de forma remota. 

    - Adjacent (A): o ataque é limitado pelo uso de protocolos de rede específicos (bluetooth, wifi)

    - Local (L): o ataque é realizado através de uma aplicação local vulnerável, ou o atacante consegue logar localmente para realizar o ataque. 

    - Physical (P): o ataque requer acesso físico ao componente vulnerável. 

Attack Complexity (AC) (CVSS-B): descreve as condições que estão fora do controle do atacante, são ações que precisam ser feitas para contornar mecanismos de defesa. Essa métrica está relacionada com os controles de segurança utilizados pelo sistema vulnerável, e não tem relação com a quantidade de tentativas ou o tempo que um atacante levou para ter sucesso na exploração. 

    - Low (L): o ataque pode ser feito a qualquer momento

    - High (H): o ataque sempre vai falhar, a menos que seja feito ações para contornar mecanismos de defesa

Attack Requirements (AT) (CVSS-B): o sucesso do ataque depende de uma condição do desenvolvimento ou da execução do sistema vulnerável, ou seja, é necessário que está condição esteja presente para possibilitar o atacate. Diferente da métrica AC, essa métrica não está relacionada com os mecanismos de defesa, mas com uma característica intrínseca da aplicação. 

    - Present (P): um ataque bem sucedido vai ser mais difícil, a menos que determinas condições estejam presentes

    - None (N): um atacante pode explorar a vulnerabilidade sob qualquer condição

Privileges Required (PR) (CVSS-B): descreve o nível de privilégio que um atacante deve ter antes de explorar a vulnerabilidade. 

    - None (N): nenhum privilégio é necessário

    - Low (L): privilégio de usuário

    - High (H): privilégio administrativo

User Interaction (UI) (CVSS-B): a exploração da vulnerabilidade depende da interação de um usuário para ser concluída com sucesso, essa é a lógica por detrás desta métrica. 

    - None (N): o ataque pode ser realizado sem a interação de usuários

    - Passive (P): o sucesso do ataque requer a interação limitada de um usuário

    - Active (A): o sucesso do ataque requer a interação do usuário

Métricas de Impacto

Nesse grupo de métricas é avaliado o impacto no sistema vulnerável e o impacto externo ao sistema vulnerável. 

Vulnerable and Subsequent Systems

    - Confidentiality: é a medida de impacto sob a informação gerenciada pelo sistema vulnerável. Um ataque bem sucedido pode ter acesso a dados confidenciais ou específicos da empresa, bem como o acesso não autorizado e a descoberta/divulgação desses dados pela aplicação explorada. 

    - High (H): acesso a todas as informações ou a informações críticas

    - Low (L): acesso a informações que não possuem criticidade

    - None (N): o atacante não obtém nenhuma informação

    Integrity: mede o impacto relacionado a integridade da informação, ou seja, se durante a exploração de uma vulnerabilidade é possível alterar os dados de um sistema. 

    - High (H): o atacante pode modificar qualquer informação crítica ou apenas um grupo de dados críticos

    - Low (L): o atacante pode modificar alguma informação, porém não tem controle do tipo de informação

     - None (N): o atacante não consegue modificar nenhuma informação

    Availability: o ataque bem sucedido pode causar a indisponibilidade do sistema vulneŕavel. 

    - High (H): o atacante pode causar a indisponibilidade total do sistema vulnerável, ou parcial de um sistema crítico

    - Low (L): o sistema vulneŕavel não é crítico e a exploração da vulnerabilidade pode reduzir a performance ou causar intermitência

    - None (N): não há impacto na disponibilidade

Supplemental Metrics

É um grupo de métricas opcionais. De acordo com o FIRST, o uso dessas métricas deve levar em consideração as características externas ao ambiente vulnerável, aplicando um contexto específico para cada situação. O valor dessas métricas não interfere no cálculo do CVSS. 

    Safety (S): quando o sistema possui um uso específico, e é alinhado com medidas de segurança

    - Not defined (X), Negligible (N), Present (P)

    Automatable (AU): são métricas que descrevem se um atacante consegue automatizar a exploração da vulnerabilidade

    - Not defined (X), No (N), Yes (Y)

    Recovery (R): descreve a resiliência de um componente ou do sistema vulnerável em recuperar o serviço quando a disponibilidade e performance são afetados. 

    - Not defined (X), Automatic (A), User (U), Irrecoverable (I)

    Provider Urgency (U): de acordo com o FIRST, essa métrica é uma tentativa de implementar no CVSS uma "avaliação" de SLA de fornecedores

    - Red: urgência alta

    - Amber: urgência moderada

    - Green: urgência reduzida

    - Clear: urgência baixa ou inexistênte

    Value Density (V): descreve os recursos que um atacante terá o controle em caso de uma exploração bem sucedida

    - Not defined (X)

    - Diffuse (D)

    - Concentrado (C)

    Vulnerable response effort: descreve a dificuldade em responder ao incidente de uma exploração bem sucedida

    - Not defined (X), Low (L), Moderate (M), High (H)

Neste artigo, as métricas Base e o novo grupo de métricas suplementares foram descritas. Todos os detalhes do CVSS v4.0 estão disponível no site do FIRST. 

#HACKINGBR