Cálculo de un coeficiente CVSS

Cálculo de un coeficiente CVSS

El CVSS (Common Vulnerability Scoring System) es un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas. De esta forma se puede conocer la gravedad de los fallos que afectan a nuestros sistemas. Esto nos permitirá dar prioridad a la hora de parchear.

El CVSS clasifica la facilidad de aprovechar el fallo y el impacto del problema teniendo en cuenta la confidencialidad, la integridad y la disponibilidad.

Hace años, hubo múltiples vulnerabilidades en Cisco Adaptive Security Appliance y en Cisco PIX Security Appliances.

El CVSS Score base era de 7.8 y el temporal y ambiental de 6.8, lo que suponía un riesgo alto. (Imágenes 1,2,3)

[pic 1]

Imagen 1. Vulnerabilidad y nivel de riesgo

[pic 2]

Imagen 2. Parámetros Base y Temporales

[pic 3]

Imagen 3. Parámetros Ambientales.

Análisis de los parámetros

Base (Imagen 2)

Son características de la vulnerabilidad que no van a cambiar con el tiempo, asumiendo que la información inicial a cerca de la vulnerabilidad es correcta y completa.

Estos son:

El vector de acceso que en este caso es la red, la complejidad de acceso la cual es baja, el impacto confidencial que es completo, la autentificación la cual no es requerida, y el impacto de integridad y disponibilidad que en este caso no tiene ninguno de los dos.

El resultado de todo esto es un Score de 7.8.

Temporal (Imagen 2)

Son parámetros los cuales pueden variar a lo largo del tiempo.

Estos son:

La explotabilidad que en este caso es alta, el nivel de remedio el cual es “Officia-Fix” y el reporte confidencial que está confirmado.

El resultado de estos parámetros da un Score Temporal de 6.8.

Ambiental (Imagen 3)

Parámetros que están ligados a la distribución del sistema y al ambiente de la red.

Estos son:

Daño colateral potencial, requerimiento confidencial, requerimiento de disponibilidad, distribución del “target” y requerimiento de integridad que en este caso ninguno de ellos están definidos.