El Fòrum d’Equips de Resposta a Incidents i Seguretat (FIRST) va anunciar de manera oficial l’actualització a la versió 4.0 del Sistema de Puntuació de Vulnerabilitats Comunes (CVSS, per les seves sigles en anglès). Aquesta actualització es fa vuit anys després del llançament del CVSS v3.0, la versió prèvia del sistema. Durant la seva 35a conferència anual, celebrada el juny a Montreal (Canadà), FIRST va presentar el CVSS 4.0 als assistents. El Sistema de Puntuació de Vulnerabilitats Comunes, conegut també com a CVSS, és un marc estandarditzat per avaluar la gravetat de les vulnerabilitats de programari. Ho fa assignant puntuacions numèriques o etiquetes qualitatives (com baix, mitjà, alt i crític) basades en factores com ara l’explotabilitat, l’impacte en la confidencialitat, la integritat, la disponibilitat i els privilegis necessaris, on les puntuacions més altes indiquen les vulnerabilitats més greus.

El Sistema de Puntuació de Vulnerabilitats Comunes, referit més comunament com a CVSS, és una metodologia que proporciona un marc per avaluar i comunicar la gravetat de les vulnerabilitats de programari. Ofereix una manera estandarditzada que les organitzacions i els experts en seguretat poden fer servir per analitzar-ne les vulnerabilitats en funció de les característiques i després prioritzar-les. Les qualificacions del CVSS ajuden a prendre decisions informades sobre quines vulnerabilitats es poden abordar primer i com s’han de distribuir els recursos per a la gestió de les vulnerabilitats.

Hi ha hagut diverses versions del CVSS i cada versió ha inclòs millores i modificacions que permeten avaluar de manera més precisa la gravetat de les vulnerabilitats. La versió anterior, el CVSS 3.1, ha estat actualitzada a la versió actual, el CVSS 4.0, que inclou una sèrie d’actualitzacions i millores significatives, com ara les següents:

El CVSS 4.0 ha estat dissenyat amb l’objectiu de simplificar el sistema de puntuació i fer-lo més accessible per als usuaris. Facilita el procés de puntuació, cosa que el fa més senzill de comprendre i de posar en pràctica per part dels experts en seguretat.

Puntuació precisa: el CVSS 4.0 inclou millores en la puntuació per permetre avaluacions més precises de les vulnerabilitats. Aquestes millores es van aconseguir mitjançant la introducció de mètodes de puntuació nous. Millora dels paràmetres base, temporals i ambientals per assolir una representació més precisa de l’efecte real d’una vulnerabilitat.

Mètriques millorades: proporciona mètriques noves, com ara abast i vector d’atac, per oferir més informació sobre la naturalesa de la vulnerabilitat i el seu impacte en el sistema. Mètriques millorades.

Fórmula: El CVSS 4.0 ve amb una fórmula revisada que es pot fer servir per determinar la puntuació total a l’escala CVSS. Quan es combina amb indicadors addicionals, aquesta fórmula proporciona una representació més precisa de la gravetat de les vulnerabilitats.

Informació contextual: quan es tracta de qualificar vulnerabilitats, el CVSS 4.0 recomana amb encariment aprofitar qualsevol informació contextual disponible. Això contribueix a proporcionar una avaluació de vulnerabilitat més precisa i rellevant segons les circumstàncies específiques d’implementació.

Flexibilitat més gran a la puntuació: la versió actualitzada ofereix un grau més gran de flexibilitat en la puntuació de les vulnerabilitats. Els usuaris tenen l’opció de triar diversos criteris temporals i ambientals per tal que les dates representin de manera més precisa les seves situacions úniques.

El Sistema de Puntuació de Vulnerabilitats Comunes (CVSS) versió 4.0 marca un avenç en la puntuació de vulnerabilitats i resol algunes de les limitacions que hi havia a les versions anteriors. Busca oferir un sistema per analitzar i prioritzar vulnerabilitats que sigui més precís i fàcil de fer servir, amb l’objectiu final d’ajudar les organitzacions a millorar la seva postura de seguretat i centrar-se en els problemes més urgents. Per tal de millorar els seus procediments de gestió de vulnerabilitats, els professionals de la seguretat i les organitzacions s’han de familiaritzar amb el CVSS 4.0 i considerar la seva implementació.

Prenem un exemple de com faries servir el CVSS 4.0 per determinar el grau de gravetat d’una vulnerabilitat de programari. Per a aquest exemple, farem servir una vulnerabilitat fictícia:

Descripció de la vulnerabilitat: Una aplicació conté una vulnerabilitat de desbordament de memòria intermèdia, que un atacant pot explotar per executar codi arbitrari al sistema afectat.

Per tal d’avaluar la gravetat d’aquesta vulnerabilitat, faries servir el CVSS 4.0 d’aquesta manera:

MÈTRIQUES BASE:

Vector d’atac (AV): la vulnerabilitat pot ser explotada a través de la xarxa (AV:N). L’atacant no necessita accés local al sistema.

Complexitat de l’atac (AC): l’atac no requereix condicions especials (AC:BAIXA). És relativament fàcil d’explotar.

Privilegis requerits (PR): l’atacant necessita obtenir privilegis elevats (PR:ALT). Això ho fa més difícil d’explotar.

Interacció de l’usuari (UI): no es requereix interacció de l’usuari (UI:CAP).

Abast (S):  l’abast de la vulnerabilitat no canvia i no afecta altres components (S:INALTERAT).

MÈTRIQUES TEMPORALS:

Maduresa del codi d’explotació (E): hi ha proves de concepte disponibles, però no es coneixen explotadors a la naturalesa (E:POC).

Nivell de resolució (RL): hi ha una solució oficial disponible (RL:SOLUCIÓ-OFICIAL).

Confiança de l’informe (RC): la vulnerabilitat ha estat confirmada per múltiples fonts (RC:ALTA).

MÈTRIQUES AMBIENTALS (ESPECÍFIQUES DE LA CONFIGURACIÓ DE L’ORGANITZACIÓ):

Vector d’atac modificat (MAV): els controls de seguretat de l’organització han dificultat que els atacants aprofitin aquesta vulnerabilitat (MAV:RED).

Complexitat de l’atac modificada (MAC): les mesures de seguretat de l’organització han augmentat la dificultat d’explotació (MAC:ALTA).

Privilegis requerits modificats (MPR):  la configuració de seguretat de l’organització requereix privilegis més baixos per a una explotació amb èxit.

Ara, pots calcular la puntuació CVSS 4.0 en funció d’aquestes mètriques:

1. Calcula la puntuació base: En aquest cas, podria ser, per exemple, 7,8.
2. Calcula la puntuació temporal tenint en compte les mètriques temporals: Suposem que és 6,2.
3. Calcula la puntuació ambiental, tenint en compte les mètriques ambientals i els factors específics de l’organització. La puntuació final podria ser 4,3.

La puntuació CVSS 4.0 global per a aquesta vulnerabilitat seria la puntuació ambiental, que en aquest exemple és 4,3. Aquesta puntuació ajuda les organitzacions a comprendre la gravetat de la vulnerabilitat en el seu context específic, i té en compte les mitigacions i les configuracions implementades. 

Com més gran sigui la puntuació CVSS, més greu serà la vulnerabilitat. Les organitzacions poden prioritzar la correcció de les vulnerabilitats amb puntuacions més altes per millorar la seva postura de seguretat. El CVSS 4.0 ofereix més flexibilitat en aquest procés.