解读 CVSS 通用评分系统中最具争议的 Scope

这篇具有很好参考价值的文章主要介绍了解读 CVSS 通用评分系统中最具争议的 Scope。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

CVSS, Common Vulnerability Scoring System, 即通用漏洞评分系统,简言之就是一个对安全漏洞进行打分的标准。网络安全人员按照 CVSS 评分的维度对漏洞打分,截至到今天,CVSS 已经升级到 3.1 版本。实际上 CVSS 评分还有一些令人模糊的灰色地带,尤其是最具争议的 Scope,本次就在这里解读一下关于 Scope,到底该不该 Changed。

在线打分:

  • 推荐:https://cvss.js.org/
  • 官方:https://www.first.org/cvss/calculator/3.1

CVSS 基础解读

如果你是网络安全相关的从业者,对 CVSS 一定不会陌生,其打分维度也比较简单,如下所示。主要包括

  • 攻击向量,即攻击者利用什么样的路径进行攻击,包括网络攻击,局域网攻击(蓝牙/WIFI),本地和物理攻击
  • 攻击复杂度,即攻击者完成一次攻击需要的条件是否苛刻,是否可以重复攻击,例如暴力破解密码,中间人攻击,钓鱼攻击,条件竞争,这些都是复杂度高的案例
  • 用户交互,即攻击者完成一次攻击,需要受害者提前做出某种行为,例如点击事件,安装应用
  • 作用域,这是一个最具争议的维度,CVSS 官方解释让其具有一定的模糊性,当某个授权范围约束的组件的漏洞能够影响其他授权范围约束的资源,说明作用域/范围发生了变化
  • CIA,即信息安全常说的机密性、完整性和可用性,比较简单,不再赘述

cvss风险,移动安全,安全,网络安全

CVSS 评分一定要设定攻击场景,基于攻击场景打分。 也就是说,一个合格的漏洞评估人员,不仅要理解漏洞原理,还需要对实际的攻击场景有一个清晰的认识,这样才能对漏洞合理评分。

CVSS Scope 解读

打分维度最具模糊性的代表是 Scope,CVSS 3 引入,官方定义的模糊性导致了打分可能会出现较大,一些安全测试人员会使用 /S:C/(Scope: Changed) 提高漏洞的最终得分,事实上,Scope 并不是严重漏洞的专属,也不是一些高级漏洞的特例,一些一般问题甚至提示问题,都可以 Changed,而一些所谓的严重问题甚至致命问题,Scope 也不一定 Changed。

CVSS 3.1 对 Scope 的描述已经变得清晰起来,并且结合 Vulnerable Component(易受攻击的组件),Impacted Component(受影响组件) 两个概念,使其打分更加合理。

When a vulnerability in a component governed by one security authority is able to affect resources governed by another security authority, a Scope change has occurred.

CVSS 3.1 Scope 官方定义,其实这个定义总体上来说,与原先大体一致,即 当某个授权范围约束的组件的漏洞能够影响其他授权范围约束的资源,说明作用域/范围发生了变化

评分说明
  1. Vulnerable Component 易受攻击的组件是一个独立的 Scope 作用域,Impacted Component 易受影响的组件也是一个独立的 Scope 作用域,因此,当易受攻击的组件存在漏洞,并且会影响到易受影响的组件的安全,让攻击者可以访问易受影响的组件的资源,此时“作用域”或者翻译成“范围”发生了改变。
  2. Scope 发生改变时,AV/AC/UI/PR 基于 Vulnerable Component 选择,而 CIA 则是基于 Impacted Component。
  3. 虚拟机/沙箱逃逸,允许以较低权限级别运行高权限的指令(处理器级别),这是最为典型的 Scope Changed 的漏洞,也是没有任何异议的。
  4. Web 应用程序中的漏洞影响用户客户端(例如 Web 浏览器),Scope 发生改变,例如 XSS,Web 服务器的路径穿越,注意 SQL 注入仍然没有改变作用域,这是因为 SQL 注入影响的仍然是目标服务器。
  5. 分布式组件/网络设备可能会造成 Scope Changed(例如针对 ARP/DNS 协议的攻击)。
  6. 通过利用应用程序中允许用户限制访问与跨多个安全范围的其他组件共享的资源(例如,操作系统资源,如系统文件)的漏洞,攻击者可以访问他们不应访问的资源。由于已经存在跨信任边界的有效路径,因此没有范围更改。
案例分析

Juniper 公司 Junos 设备代理 ARP 拒绝服务漏洞(CVE-2013-6014)(9.3 CRITICAL)

在未编号的接口上启用代理 ARP 时,允许远程攻击者执行 ARP 投毒攻击,并可能通过精心制作的 ARP 消息获取敏感信息。

Metric Value Comments
Attack Vector Adjacent Network 利用此漏洞需要与目标系统建立网络邻接关系
Attack Complexity Low 制作 ARP 数据包以利用此漏洞的复杂性很低
Privileges Required None 非特权用户可以生成 ARP 数据包
User Interaction None 攻击不需要任何用户交互
Scope Changed 易受攻击的组件是 Junos 设备本身,而受影响的组件是 ARP 条目中毒的任何设备
Confidentiality High 攻击者可以读取针对目标订阅者的任何流量
Integrity None 虽然修改易受攻击组件上的路由表会对完整性产生影响,但对下游(受影响的)组件的完整性影响为无
Availability High 对下游(受影响的)组件的可用性的影响导致对目标订阅者拒绝服务

思科访问控制绕过漏洞(CVE-2012-1342)(6.1 MEDIUM)

运行 IOS XR 软件版本 3.9、4.0 和 4.1 的思科运营商路由系统 (CRS-X) 允许远程攻击者通过分段数据包绕过 ACL 条目,即错误 ID CSCtj10975。该漏洞允许未经身份验证的远程攻击者绕过设备访问控制条目 (ACEs) 并发送本应被拒绝的网络流量。它只影响具有特定 ACE 结构的设备。

Metric Value Comments
Attack Vector Network 攻击者可以从易受攻击的组件进行多跳访问
Attack Complexity Low 创建符合标准(非第一片段)的数据包的复杂性很低
Privileges Required None 非特权用户可以启动数据包流
User Interaction None 攻击不依赖于任何用户交互
Scope Changed 易受攻击的组件是 CRS 本身,而受影响的组件是受 CRS 保护的下游网络和设备
Confidentiality None 影响是针对防火墙之外的网络和设备(受影响的组件)而不是 CRS(易受攻击的组件)进行评分的。任何机密性损失都是次要影响
Integrity Low 利用会对受 CRS(易受攻击的组件)保护的网络或设备(受影响的组件)造成完整性影响
Availability None 影响是针对防火墙之外的网络和设备(受影响的组件)而不是 CRS(易受攻击的组件)进行评分的。任何可用性都是次要影响(例如,有针对性的 DoS 攻击)

Wordpress 插件 XSS(CVE-2012-1342)(6.1 MEDIUM)

这是一个最典型的 XSS 攻击的打分。

Metric Value Comments
Attack Vector Network 只能通过网络利用该攻击。我们假设易受攻击的 WordPress 网站已连接到 Internet,因为这是一种常见的部署方式
Attack Complexity Low 攻击者可以重复攻击成功
Privileges Required None 攻击者不需要任何特权即可执行攻击
User Interaction Required 受害者需要单击攻击者创建的恶意链接
Scope Changed 易受攻击的组件是易受攻击的 WordPress Web 服务器。受影响的组件是受害者的浏览器
Confidentiality Low 受害者浏览器中与易受攻击的 WordPress 网站相关的信息可以被恶意 JavaScript 代码读取并发送给攻击者
Integrity Low 恶意 JavaScript 代码可以修改受害者浏览器中与易受攻击的 WordPress 网站相关的信息
Availability None 恶意 JavaScript 代码无法显着影响受害者的浏览器

Google Chrome 沙箱逃逸漏洞(CVE-2012-5376)(9.6 CRITICAL)

Google Chrome 中的进程间通信 (IPC) 实现允许远程攻击者绕过预期的沙箱限制,实现对渲染器进程的访问,达到任意文件写的目的。

Metric Value Comments
Attack Vector Network 受害者必须访问可能存在于本地网络之外的恶意网站
Attack Complexity Low 攻击者不需要为这种攻击进行任何特殊操作
Privileges Required None 攻击者不需要任何权限来执行此攻击
User Interaction Required 受害者必须单击攻击者提供的特制链接
Scope Changed 基于攻击者正在突破 Chrome 受控沙箱环境的假设,易受攻击的组件是 Google Chrome,受影响的组件是运行 Chrome 的操作系统
Confidentiality High 最坏的情况是 Chrome 以管理权限运行。攻击者可以覆盖系统配置并授予攻击者访问系统上任何数据或管理特权的权限
Integrity High 最坏的情况是 Chrome 以管理权限运行。攻击者可以覆盖任何文件,包括重要的系统文件
Availability High 最坏的情况是 Chrome 以管理权限运行。攻击者可以通过覆盖特定系统文件或通过系统重新配置拒绝用户访问来导致系统崩溃

英特尔 DCI 问题(CVE-2018-3652)(7.6 HIGH)

第五代和第六代英特尔至强处理器 E3 家族、英特尔至强可扩展处理器和英特尔至强处理器 D 家族中 DCI(直接连接接口)的现有 UEFI 设置限制允许有限的物理存在攻击者通过调试接口访问平台机密。

Metric Value Comments
Attack Vector Physical 攻击者必须能够物理访问 DCI 端口才能连接调试设备
Attack Complexity Low 调试设备是现成的硬件,任何人都可以从英特尔购买
Privileges Required None 攻击者可以完全访问处理器的状态,直接绕过所有安全保护
User Interaction None 受影响的系统在 BIOS 设置屏幕中默认启用 DCI 支持
Scope Changed 攻击者被授予对系统用户通常无法访问的硬件级别的机器状态的完全访问权限。所有基于软件的安全机制和许多基于硬件的安全机制都被完全绕过
Confidentiality High 目标机器的整个运行状态完全暴露。任何进入内存的秘密都会暴露
Integrity High 目标机器的整个运行状态可以修改为硬件允许的任何状态
Availability High 击者可以通过多种方式永久拒绝服务,包括但不限于更换操作系统和修改通常无法访问的控制引导过程的 UEFI 变量

其他案例

本地提权或者 Android 中的应用组件漏洞,需要通过安装恶意应用来进行攻击怎么打分?

Android 本地安装应用攻击

CVE-2022-33708:Galaxy Store 中的 AppsPackageInstaller 中的不正确输入验证漏洞允许本地攻击者以 Galaxy Store 权限启动活动。

7.8 HIGH
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

因此,Android 本地安装应用,在 AV 是 Local 的基础上,PR 应该是 Low,即需要一定的权限。一个应用安装在本地,如果什么权限都不申请,几乎是做不了事情的。

Windows 本地提权攻击

CVE-2022-30138:Windows 后台打印程序特权提升漏洞。

7.8 HIGH
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

因此,本地攻击在多数场景下是需要一定的权限,当然也需要结合实际场景,看看我们的恶意应用或者恶意用户成功完成一次攻击,并造成相应影响,到底需不需要部分权限。

总结

作为安全测试人员,CVSS 是我们最为常用的一种评估漏洞风险的手段。但是实际上很多安全研究者并没有深究背后的打分机制,许多漏洞的评分也值得商榷。本次,我们深入探讨 CVSS 打分中最具争议的 Metric,即 Scope, 并结合相关案例给出实际评分标准,目的是希望大家都能够对漏洞进行合理评分。文章来源地址https://www.toymoban.com/news/detail-615819.html

参考文献

  • https://www.first.org/cvss/user-guide#2-1-Scope-Vulnerable-Componentand-Impacted-Component
  • https://www.mitre.org/sites/default/files/2021-11/pr-18-2208-rubric-for-applying-cvss-to-medical-devices.pdf
  • https://www.first.org/cvss/examples

到了这里,关于解读 CVSS 通用评分系统中最具争议的 Scope的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 基于485总线的评分系统

    通过本案例加深理解RS485通信方式,实现上位机的主控制器与所有的下位机进行通信。 通过RS232/RS485转换器将多个带有485模块的下位机控制程序的单片机挂载在总线上。用一块单片机做为上位机,下载上位机接点软件中的hex文件,另外的单片机作为下位机,下载下位机程序。

    2024年02月06日
    浏览(70)
  • AI智能评分系统

    简历综合能力评分 - 基于对简历各部分的深入分析和综合考量,利用系统的AI智能评分系统。 1. 教育背景 (总分10分) 学历水平 (4分) : 引入国际学历评估标准,如QS世界大学排名或国家教育部认证,确保对不同教育背景的公平评价。 专业相关性 (3分) : 结合行业需求分析和职位

    2024年04月16日
    浏览(24)
  • 简易评分系统

    目录 一、实验目的 二、操作环境 三、实验内容和过程 1.实验内容 2.代码 2.1 用户验证功能 2.2 菜单函数 2.3 评分功能 四、结果分析 总体的输出结果: 保存文件成功截图: 五、小结 1.巩固和提高学生学过的基础理论和专业知识; 2.提高学生运用所学专业知识进行独立思考和综

    2024年02月16日
    浏览(30)
  • Python爬取豆瓣电影Top 250,豆瓣电影评分可视化,豆瓣电影评分预测系统

    博主介绍:✌程序员徐师兄、7年大厂程序员经历。全网粉丝12w+、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅 文末获取源码联系 🍅 👇🏻 精彩专栏推荐订阅👇🏻 不然下次找不到哟 2022-2024年最全的计算机软件毕业设计选

    2024年03月21日
    浏览(72)
  • 【论文阅读】自动作文评分系统:一份系统的文献综述

    许多研究者在过去的几十年间都在致力于自动作文评分和简答题打分,但是通过像与提示之间的内容的相关性、思想的发展性、文章内聚力、文章连贯性等来评估一篇文章,到目前为止都是一项挑战。 很少的研究者聚焦于基于内容的评分,他们中的大多数都强调基于风格的评

    2023年04月08日
    浏览(43)
  • 基于485总线的评分系统双机实验报告

    本来还想着做多机的,但老师已经打分了就算了。为了压缩到6页删减了很多内容,将就看吧 通过本案例加深理解RS485通信方式,实现上位机的主控制器与所有的下位机进行通信。 实验要求: 使用两块STC板分别下载上一节所提供的.hex文件,搭建485双机通信电路,在linux中编程

    2024年02月09日
    浏览(40)
  • python图书书籍管理系统及推荐评分系统vue

    本系统提供给管理员对书籍分类、书籍信息、书籍评分、留言板等诸多功能进行管理。本系统对于用户输入的任何信息都进行了一定的验证,为管理员操作提高了效率,也使其数据安全性得到了保障。随着信息化时代的到来,网络系统都趋向于智能化、系统化,书籍管理及推

    2024年02月09日
    浏览(36)
  • python+django教师业绩考评考核评分系统flask

    在设计过程中,将参照一下国内外的一些同类网站,借鉴下他们的一些布局框架,将课题要求的基本功能合理地组织起来,形成友好、高效的交互过程。开发的具体步骤为: 第一步,进行系统的可行性分析,完成系统的需求分析。 第二步,对系统进行概要设计,设计系统的

    2024年04月09日
    浏览(84)
  • ​Segment-and-Track Anything——通用智能视频分割、目标追踪、编辑算法解读与源码部署

    随着Meta发布的Segment Anything Model (万物分割)的论文并开源了相关的算法,我们可以从中看到,SAM与GPT-4类似,这篇论文的目标是(零样本)分割一切,将自然语言处理(NLP)的提示范式引入了计算机视觉(CV)领域,为CV基础模型提供了更广泛的支持和深度研究的机会。 Segmen

    2024年02月04日
    浏览(38)
  • 2023 年最具影响力的 AI 应用

    目录 What is AI? 什么是人工智能?  What is AI used for? 人工智能的用途是什么? 

    2024年02月16日
    浏览(62)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包