v4.0
Última actualización
Última actualización
En esta versión el CVSS se compone de cuatro grupos de métrica:
Base: refleja la gravedad de una vulnerabilidad en función de sus características intrínsecas, que son constantes a lo largo del tiempo y suponen el peor caso de impacto razonable en diferentes entornos desplegados.
Amenaza (Threat): esta métrica ajusta la gravedad de una vulnerabilidad en función de factores como la disponibilidad de una prueba de concepto o un exploit activo.
Entorno (Environmental): Las métricas ambientales ajustan aún más la puntuación de gravedad resultante a un entorno informático específico. Tienen en cuenta factores como la presencia de mitigaciones en ese entorno y los atributos de criticidad del sistema vulnerable
Suplementario (Supplemental): las métricas suplementarias describen y miden atributos extrínsecos adicionales de una vulnerabilidad, con la intención de añadir contexto.
La organización que mantiene el producto vulnerable, o un tercero que califica en su nombre, suele proporcionar las métricas básicas y complementarias. Es habitual que el proveedor del producto sólo publique las métricas de base y, opcionalmente, las métricas complementarias, ya que la información sobre amenazas y entorno sólo está disponible para el consumidor final.
El grupo métrico base representa las características intrínsecas de un vulnerabilidades que son constantes a lo largo del tiempo y en todos los entornos de usuario. Esta métrica esta compuesta de dos sub métricas: explotabilidad y impacto.
Ejemplo de un vector Base:
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:L/SC:L/SI:N/SA:N
CVSS v4.0 Score: 7.2 / High
Las métricas de explotabilidad reflejan la facilidad y los medios técnicos por los cuales la vulnerabilidad puede ser explotada. Es decir, representan características de lo que es vulnerable, a lo que se refiere formalmente como el sistema vulnerable. Por lo tanto, cada parámetro de esta submétrica debe evaluarse en relación con el sistema vulnerable, y reflejar las propiedades de la vulnerabilidad que conduce a un ataque exitoso. Los Parámetro de esta submétrica base son:
Attack Vector (AV)
Network (N)
Adjacent (A)
Local (L)
Physical (P)
Attack Complexity (AC)
Low (L)
High (H)
Attack Requirements (AT)
None (N)
Present (P)
Privileges Requiered (PR)
None (N)
Low (L)
High (H)
User Interaction (UI)
None (N)
Passive (P)
Active (A)
Siempre se debe asumir que el atacante tiene un conocimiento avanzado de las debilidades del sistema objetivos, incluyendo la configuración general y los mecanismos de defensa por defecto (P/e: Firewalls, control de trafico, entre otros). La mitigación de los ataques con listas de control, EDR y demás, deben ser reflejados y clasificados en la métrica de Entorno (Environmental) y no en esta submétrica.
También, las configuraciones específicas no deben de afectar a ningún atributo que contribuya a la la evaluación de esta métrica base, es decir, si se requiere una configuración especial para que el ataque tenga éxito, el sitema vulnerable debe evaluarse asumiendo que se encuentra en esa configuración.
Este parámetro refleja el contexto en el que es posible la explotación de la vulnerabilidad. El valor de este parámetro, y en consecuencia la gravedad resultante, será mayor cuando más remoto (lógicamente y físicamente) se encuentre un atacante al momento de explotar el sistema vulnerable. (por ejemplo: Es más crítico que los atacantes puedan explotar la vulnerabilidad desde internet a que se tengan que conectar físicamente a un puerto de red dentro de la empresa).
Network - N
El sistema vulnerable está vinculado a la pila de red y el conjunto de posibles atacantes se extiende más allá de las otras opciones enumeradas a continuación, esto puede incluir todo Internet. Una vulnerabilidad de este tipo suele denominarse "explotable remotamente" y puede considerarse como un ataque explotable a nivel de protocolo a uno o más saltos de la red (por ejemplo, a través de uno o más routers). Un ejemplo de ataque de red es un atacante que provoca una denegación de servicio (DoS) enviando un paquete TCP especialmente diseñado a través de una red de área extensa (por ejemplo, CVE-2004-0230).
Adjacent - A
El sistema vulnerable está vinculado a una pila de protocolos, pero el ataque se limita a nivel de protocolo a una topología lógicamente adyacente. Esto puede significar que el ataque debe lanzarse desde la misma proximidad compartida (p. ej., Bluetooth, NFC o IEEE 802.11) o red lógica (p. ej., subred IP local), o desde dentro de un dominio administrativo seguro o limitado de otro modo (p. ej., MPLS, VPN segura dentro de una zona de red administrativa). Un ejemplo de ataque adyacente sería una inundación ARP (IPv4) o de descubrimiento de vecinos (IPv6) que condujera a una denegación de servicio en el segmento LAN local (por ejemplo, CVE-2013-6014).
Local - L
El sistema vulnerable no está vinculado a la pila de red y el camino del atacante pasa por las capacidades de lectura/escritura/ejecución. O bien - el atacante explota la vulnerabilidad accediendo al sistema objetivo localmente (por ejemplo, teclado, consola), o remotamente (por ejemplo, SSH); o - el atacante se basa en la interacción del usuario por otra persona para realizar las acciones necesarias para explotar la vulnerabilidad (por ejemplo, utilizando técnicas de ingeniería social para engañar a un usuario legítimo para que abra un documento malicioso).
Phisical - P
El ataque requiere que el atacante toque o manipule físicamente el sistema vulnerable. La interacción física puede ser breve (por ejemplo, el ataque evil maid[^1]) o persistente. Un ejemplo de este tipo de ataque es un ataque de arranque en frío en el que un atacante obtiene acceso a las claves de cifrado del disco tras acceder físicamente al sistema objetivo. Otros ejemplos incluyen ataques periféricos a través de FireWire/USB Direct Memory Access (DMA).
Para decidir el valor entre entre Network y Adjacent, considerar lo siguiente:
Sí el ataque se puede lanzar a través de una red de área amplia (WAN) o desde fuera del dominio de red administrativo lógicamente adyacente (desde internet), utilice Network. La métrica Network se debe utilizar incluso si se requiere que el atacante esté en la misma intranet para explotar el sistema vulnerable (por ejemplo, el atacante sólo puede explotar la vulnerabilidad desde dentro de una red corporativa desde la subred a hasta la subred c).
Si el ataque solo puede ver los dispositivos que se encuentran en el mismo segmento de red (por ejempolo, solo puede ver los host de la sub red a pero no alcanza a la subred b o c) entonces utilice Adjacent.
Attack Complexity (AC)
Attack Requirements (AT)
Attack Requirements (AT)
User Interaction (UI)
Las métricas de impacto reflejan la consecuencia directa de un éxito al explotar la vulnerabilidad, y representar la consecuencia a las cosas que sufren el impacto, que puede incluir el impacto en el sistema vulnerable y/o el impacto posterior en lo que formalmente se llama los sistemas posteriores.