Cómo funciona el sistema de puntuación CVE y CVSS en Android

Cada mes, te hablo sobre las referencias CVE en los resúmenes del Boletín de Seguridad de Android. Pero, ¿qué es CVE? CVE significa Common Vulnerability and Exposures y se puntúa utilizando el estándar CVSS (Common Vulnerability Scoring System). Este estándar es un poco complicado de comprender al principio y, superficialmente, puede parecer un poco arbitrario.

Sin embargo, este sistema está en vigor y voy a ayudarte a entender cómo funciona.

Índice de Contenido
  1. Métricas
  2. Puntuación de métricas
  3. La calculadora
  4. Es complicado

Métricas

Lo primero que debes entender es que hay tres tipos de métricas utilizadas en este sistema:

  • Métricas de Puntuación Base: dependen de subfórmulas para el Sub-Puntuaje de Impacto (ISS), Impacto y Explotabilidad.
  • Métricas de Puntuación Temporal: es igual a un cálculo redondeado de BaseScore * MadurezCódigoExplotación * NivelRemediación * ConfianzaInforme.
  • Métricas de Puntuación Ambiental: dependen de subfórmulas para el Sub-Puntuaje de Impacto Modificado (MISS), Impacto Modificado y Explotabilidad Modificada. La fórmula para esto es el mínimo (1 - [(1 - RequisitoConfidencialidad * ConfidencialidadModificada) * (1 - RequisitoIntegridad × IntegridadModificada) * (1 - RequisitoDisponibilidad * DisponibilidadModificada)], 0.915).

Dentro de cada conjunto de métricas se encuentran las siguientes subcategorías:

  • Métricas de Puntuación Base: Vector de Ataque, Complejidad del Ataque, Privilegios Requeridos, Interacción del Usuario, Alcance, Impacto en Confidencialidad, Impacto en Integridad, Impacto en Disponibilidad.
  • Métricas de Puntuación Temporal: Explotabilidad, Nivel de Remediación, Confianza del Informe.
  • Métricas de Puntuación Ambiental: Vector de Ataque, Complejidad del Ataque, Privilegios Requeridos, Interacción del Usuario, Alcance, Impacto en Confidencialidad, Impacto en Integridad, Impacto en Disponibilidad, Requisito de Confidencialidad, Requisito de Integridad, Requisito de Disponibilidad.

Cada métrica se puntúa de diferentes formas. Por ejemplo, bajo las Métricas de Puntuación Base, puedes puntuar el Vector de Ataque con una de las siguientes opciones:

  • Red (AV:N) - Una vulnerabilidad con acceso a la red. Esto significa que el componente está vinculado a la pila de red y la ruta de ataque es a través de la capa de red del modelo OSI.
  • Red Adyacente (AV:A) - Una vulnerabilidad aprovechable con acceso a una red adyacente, pero el componente está vinculado a la pila de red a través de Bluetooth o una red lógica (como una subred IP local).
  • Local (AV:L) - Una vulnerabilidad con acceso local. Esto significa que la vulnerabilidad no está vinculada a la pila de red y la ruta de ataque es a través de capacidades de lectura/escritura/ejecución en el sistema de archivos local.
  • Físico (AV:P) - Una vulnerabilidad que requiere acceso físico a un componente vulnerable en un dispositivo.

Dentro de los Puntajes Base, hay tres puntajes diferentes:

10 consejos para lidiar con un impostor en línea
  • Base
  • Impacto
  • Explotabilidad

Puntuación de métricas

Aquí es donde empieza a complicarse (como si no lo estuviera ya). Cada subcategoría tiene una lista de métricas, de las cuales puedes seleccionar una. Después de seleccionar una métrica para cada subcategoría, se suma un puntaje a través de una ecuación específica. Por ejemplo, el Puntaje Base es una función de las ecuaciones de Puntaje de Impacto y Puntaje de Explotabilidad.

El Puntaje Base se define como:

Si (Puntaje de Impacto <= 0) 0 else ... Alcance no modificado - ([o] + [ ], 10]) Alcance modificado - ([1.08 * [o] + [ ], 10])

El Puntaje de Impacto se define como:

Alcance no modificado 6.42 * Base Alcance modificado 7.52 * [- 0.029] - 3.25 * [- 0.02]15

Donde,

Cómo configurar la multiplexación SSH en Linux para mejorar la eficiencia

[o] = 1 - [(1 - ) * (1 - ) * (1 - )]

Finalmente, el Puntaje de Explotabilidad se define como:

8.22 * Vector de Ataque * Complejidad del Ataque * Privilegios Requeridos * Interacción del Usuario

La calculadora

Afortunadamente, no tenemos que depender de fórmulas para calcular el puntaje de una vulnerabilidad. ¿Por qué? Porque hay una práctica Calculadora del Sistema de Puntuación de Vulnerabilidades Comunes disponible que hace esto automáticamente. Todo lo que tienes que hacer es seleccionar una métrica para cada subcategoría y se sumará el puntaje, sin necesidad de cálculos manuales.

Pero esto no ayuda a explicar cómo se puntúa cada métrica. En la versión 2 del CVSS, era mucho más fácil calcular estos puntajes, ya que a cada métrica se le asignaba un valor (encontrar los valores para la versión 3 es un ejercicio en vano). Por ejemplo, los siguientes Vectores de Acceso (AV) tenían los siguientes puntajes:

  • Local (L) 0.395
  • Red Adyacente (A) 0.646
  • Red (N) 1.0

Cada subcategoría de métrica tenía un puntaje asociado. Una vez que aplicabas un puntaje a la subcategoría de una métrica, podías calcular una vulnerabilidad insertando los puntajes en la fórmula relacionada. Por ejemplo:

Cómo ejecutar comandos en servidores remotos con SSH

Explotabilidad = 20 * Vector de Acceso * Complejidad del Ataque * Autenticación

Entonces, si una vulnerabilidad tenía un Vector de Acceso de Local (puntaje de .395), una Complejidad del Ataque de Alta (.35) y una Autenticación de Múltiple (.45), el puntaje del CVSS sería:

20 * .395 * .35 * .45 = 1.2442

Un puntaje de CVSS de 1.2442 recibiría una calificación de Baja. Por supuesto, ese puntaje es solo una parte de una vulnerabilidad (ya que hay otras métricas a considerar).

Para el CVSS v3, lo mejor es ir directamente a la calculadora en línea, seleccionar las métricas individuales para cada subcategoría y permitir que los algoritmos hagan el trabajo por ti.

Es complicado

El método de puntaje de CVE es complicado, tanto es así que el usuario promedio ni siquiera debería intentar calcular puntajes para vulnerabilidades. Sin embargo, tener aunque sea un entendimiento superficial de cómo funciona el sistema te ayuda a comprender mejor cuando ves que una vulnerabilidad en particular está clasificada como No (0.0), Baja (0.1-3.9), Media (4.0-6.9), Alta (7.0-8.9) o Crítica (9.0-10).

Cómo cambiar la contraseña de root en un contenedor Docker

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo funciona el sistema de puntuación CVE y CVSS en Android , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.