¿Que es CVSS?

Son las siglas de Common Vulnerability Scoring System o lo que es lo mismo Sistema Común de Puntuación de Vulnerabilidades el cual determina las características y gravedad de las vulnerabilidades del software y que ahora mismo se encuentra en su versión 3.1.

Todas las vulnerabilidades encontradas son registradas, estudiadas, analizadas, almacenadas, parametrizadas, etc. en una base de datos de EEUU llamada NVD.

Para medir estas vulnerabilidades se definen 3 grupos de métricas, Base, Temporal y Entorno (Base, temporal y Environmental)

El grupo Base representa las cualidades intrínsecas de una vulnerabilidad que son constantes en el tiempo y entre entornos de usuario, el grupo Temporal refleja las características de una vulnerabilidad que cambia con el tiempo y el grupo Entorno representa las características de una vulnerabilidad que son exclusivas del entorno de un usuario.

Las métricas base producen una puntuación que oscila entre 0 y 10, que luego se puede modificar puntuando las métricas Temporal y Ambiental. Además, una puntuación CVSS también se representa como una cadena vectorial, es decir una cadena de letras que codificadas identifican la puntuación final de la vulnerabilidad.

Cada grupo tiene una serie de métricas representadas por sus siglas y por el valor que porta, así por ejemplo AV:N corresponde a la métrica Vector de Ataque y tiene un valor N. N tiene un valor numérico que será usado por una serie de fórmulas para obtener la puntuación final. Todos los valores de las métricas tienen un valor excepto la métrica Ámbito o Scope (S) la cual si tiene el valor Changed (C) condiciona el valor de la métrica Privilegios requeridos tanto para Base como Entorno.

Con todo esto, de cada vulnerabilidad, se obtiene un vector y este vector determina la puntuación, por ejemplo el siguiente vector que corresponde a la vulnerabilidad CVE-2020-7035 tiene una puntuación de 7.8 ALTO

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Las fórmulas usadas para tal efecto son las siguientes, que aunque parezca una locura esta maraña de números y variables , no lo son tanto, doy fe.

equations cvss.png

Os dejo el enlace de First donde se detallan grupos, métricas, puntuaciones y fórmulas y las páginas de las calculadoras en First y NVD. Por otra parte si estás interesado en una calculadora del mismo tipo que desarrollé, en wakicode puedes hacerlo.
Licencia Creative Commons
Esta obra está bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

 

Un comentario en “CVSS 3.1

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s