Pasar al contenido principal

CVSS

El sistema de puntuación de vulnerabilidades comunes (Common Vulnerability Scoring System o CVSS, por sus iniciales en inglés), es un framework (marco de trabajo) abierto para la comunicación de las características y el nivel de severidad de las vulnerabilidades de software reportadas.

Este sistema se basa en tres grupos métricos: basetemporal y entorno. Las métricas base producen una puntuación en un rango del 0 al 10, y pueden ser modificadas posteriormente por las métricas de temporal y entorno.

Una puntuación CVSS también puede ser representada en una cadena de texto, la cual contiene una representación de los valores numéricos. Este framework está bien situado como sistema estándar de medida por las industrias, organizaciones y gobiernos que necesitan una puntuación de seguridad precisa y consistente.      

Existen dos maneras de calcular la puntuación CVSS de una vulnerabilidad; ambas coinciden en priorizar las actividades que se deben llevar a cabo para remediar la vulnerabilidad.

Esta puntuación la calcula la Base de Datos de Vulnerabilidades Nacional (NVD) del gobierno de Estados Unidos. Esta entidad ofrece puntuaciones CVSS para casi todas las vulnerabilidades comúnmente conocidas, es decir, para casi todas las CVE. La NVD soporta dos sistemas de puntuación CVSS: la versión 2 (lanzada en 2007) y la versión 3 (lanzada en 2015). Además, proporciona puntuaciones base CVSS en base a las características innatas de cada una de las vulnerabilidades. Por ello, y desde hace algún tiempo, la NVD ha dejado de ofrecer puntuaciones temporales o de entorno, y solo ofrece la posibilidad de calcular las puntuaciones de las CVE haciendo uso de las dos versiones del sistema de puntuación CVSS existentes. De hecho, en su página web incluye una especie de calculadoras, accesibles en estas URL:

En la versión 2 del sistema de puntuación CVSS el rango de criticidad se divide entre baja (low), media (medium) y alta (high). Se considera de baja criticidad el rango de puntuación desde 0.0 a 3.9, media desde 4.0 a 6.9, y alta desde 7.0 a 10.0. Para poder calcular la puntuación de una CVE es necesario responder a una serie de preguntas.

La versión 3 se distribuye la criticidad de la siguiente manera: ninguna (none), baja (low), media (medium), alta (high) y crítica (critical). Los rangos se reparten de la siguiente manera: ninguna es equivalente a 0.0, baja está entre 0.1 y 3.9, media es desde 4.0 a 6.9, alta desde 70 hasta 8.9 y crítica todo lo que sea superior a 9.0 hasta 10.0.

 De nuevo, en este sistema de puntuación también hay una serie de preguntas a responder, similares a las de la versión 2, para establecer el nivel de criticidad de cada CVE:

  • ¿Cómo es el vector de acceso? ¿Local, desde una red adyacente, desde la misma red o físico?
  • ¿Es complejo de realizar el ataque?
  • ¿Es necesario disponer de privilegios?
  • ¿Es obligatorio que el usuario interactúe para que la explotación se realice?
  • ¿Permite la explotación llegar a otros componentes u obtener más privilegios? ¿Permite el cambio de ámbito?
  • ¿Impacta o afecta a la confidencialidad de la información?
  • ¿Impacta o afecta a la integridad de la información?
  • ¿Impacta o afecta a la disponibilidad de la información?

Compartir

Compartir en Linkedin