CVSS: ¿Qué es?

El CVSS (Common Vulnerability Scoring System) es un sistema (métrica) de score con el que poder medir el impacto que una vulnerabilidad puede tener si es explotada. La guía se puede encontrar en la siguiente URL http://www.first.org/cvss/cvss-guide.html. Esta métrica va por su segunda versión, CVSS v2, la cual dispone de una métrica base, una métrica temporal y una de entorno (environment). Al final, el CVSS clasificará la vulnerabilidad en función de si ésta afecta a la disponibilidad, la confidencialidad, la privacidad, etc. Aunque también se tiene en cuenta el vector de acceso, la complejidad para llevar a cabo la explotación, si se requiere autenticación, etc.

Como podemos ver el CVSS es un sistema con diferentes manera de medir (base, temporal, entorno) y que tiene en cuenta ciertos aspectos para poder evaluar correctamente y proponer el famoso score. El CVSS lo podéis encontrar acompañando a los CVE, que van saliendo una vez la vulnerabilidad es aceptada como tal y comprobada.

En primer lugar vamos a hablar de la métrica base compuesta por distintos elementos. El vector de acceso proporciona información sobre la ubicación del atacante en el instante de llevar a cabo la explotación:

• Local. Misma máquina.
• LAN. Vulnerabilidad explotable en la misma red.
• Remoto. Desde Internet.

Otro elemento que se tiene en cuenta para llevar a cabo el score es la complejidad de acceso:

• Alta. Circunstancias muy especiales deben darse para llevar a cabo la explotación.
• Media. Complejidad media.
• Baja. Configuración por defecto. Es realmente sencillo que se pueda explotar.

El elemento de la autenticación indica lo siguiente:

• Ninguna. No se requiere autenticación para explotar vulnerabilidad.
• Simple. Se requiere autenticación para explotar.
• Múltiple. Se requieren varias autenticaciones.

Los últimos elementos son el impacto que la vulnerabilidad tiene sobre la confidencialidad en el sistema, el impacto sobre la disponibilidad del servicio y el impacto en la integridad de los datos del sistema. Éstos últimos en algunos casos no se aplican a la métrica, ya que la vulnerabilidad puede no tener impacto sobre ellos.Una métrica opcional del CVSS es la de entorno que se puede definir como se expone a continuación:

• Número de equipos afectados, en otras palabras, si los equipos vulnerables es elevado o son casos bajos.
• Daños colaterales. Con la vulnerabilidad se pueden tener pérdidas económicas o, incluso, de personas.
• Requisitos de seguridad.

Por último hablaros de la métrica temporal, que es otra opcional del CVSS, en la que se especifica una ventana temporal para actuar tanto para la explotación, como la corrección de la vulnerabilidad:

• Explotabilidad. Existencia de exploits.
• Indicar la dificultad para aplicar medida correctora.
• Fiabilidad del informe de vulnerabilidades.

En la URL de CVEDetails tenéis información sobre el CVSS de los CVE de manera amigable, donde se van analizando los campos que hemos ido comentando. A continuación os mostramos una imagen para intentar que la comprensión de esto sea más amigable.

Con la clasificación que se ha mostrado es estándar CVSS define una serie de ponderaciones con la que obtener una puntuación exacta, la cual resultará muy útil para comparar productos, organizaciones, trabajos de auditoría, etcétera.