Глоссарий
Что такое CVSS — оценка серьёзности и как её на самом деле выставляют
CVSS оценивает серьёзность уязвимости от 0.0 до 10.0, вычисляя её из определённых метрик (вектор атаки, привилегии, воздействие на CIA) по публичной формуле — а не на глаз. Шкала оценки, векторная строка, что делает 10.0, и v3.1 против v4.0.
«CVSS 10.0», «RCE с CVSS 9.8» — числа в каждом заголовке об уязвимости. Они не выдуманы: они берутся из определённого набора метрик и формулы. Разберём, как их читать, с нуля.
Сначала ориентир по оценкам
| Оценка | Ранг | Ощущение |
|---|---|---|
| 9.0 – 10.0 | Critical | Действуйте сейчас; часто класс захвата |
| 7.0 – 8.9 | High | Займитесь скоро |
| 4.0 – 6.9 | Medium | Запланируйте |
| 0.1 – 3.9 | Low | Держите на контроле |
Если CVE — это имя уязвимости, то CVSS — её оценка серьёзности. «RCE с CVSS 10.0» означает удалённое выполнение кода высшего ранга — худший класс (RCE).
Шкала действительно существует
Оценка CVSS строится из трёх групп метрик. То, что публикуется как «CVE-XXXX равна 9.8», почти всегда — оценка Base.
Base
Сама уязвимость. Публикуемое значение.
Threat
Корректируется со временем по доступности эксплойта.
Environmental
Пересчитывается под вашу конфигурацию и приоритеты.
① Эксплуатируемость
② Воздействие
Оценка Base — это, грубо, «① насколько легко эксплуатировать» × «② насколько велико воздействие». Следующие две таблицы — это и есть те метрики.
① Эксплуатируемость (насколько легко атаковать)
| Метрика | Значения | Наихудший случай (повышает оценку) |
|---|---|---|
| Attack Vector (AV) | Network / Adjacent / Local / Physical | Network (через интернет) — самое опасное |
| Attack Complexity (AC) | Low / High | Low (без особых условий) — опасно |
| Privileges Required (PR) | None / Low / High | None (вход не нужен) — опасно |
| User Interaction (UI) | None / Required | None (жертва ничего не делает) — опасно |
② Воздействие (что произойдёт при успехе)
CIA = три столпа безопасности: Confidentiality (конфиденциальность), Integrity (целостность), Availability (доступность).
| Метрика | Значения | «High» означает |
|---|---|---|
| Scope (S) | Unchanged / Changed | Changed = взлом выходит за исходную границу привилегий |
| Confidentiality (C) | High / Low / None | данные можно прочитать целиком |
| Integrity (I) | High / Low / None | данные можно свободно изменять |
| Availability (A) | High / Low / None | сервис можно полностью остановить |
«Scope: Changed» — вот что толкает оценку вверх
Например, ущерб, ограниченный внутри контейнера (Unchanged), против распространения оттуда на хост или другие сервисы (Changed). То, «выходит ли это за пределы коробки», сильно сдвигает оценку при в остальном одинаковых условиях.
Векторная строка: «рецепт» оценки в одну строку
Каждая оценка CVSS сопровождается векторной строкой — записью того, какие метрики были выбраны, то есть обоснованием числа.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H → 10.0 (Critical)В разборе всё установлено на «самое опасное»:
| Сегмент | Значение | В этом примере |
|---|---|---|
AV:N | Attack Vector = Network | достаётся через интернет |
AC:L | Attack Complexity = Low | легко осуществить |
PR:N | Privileges Required = None | без аутентификации |
UI:N | User Interaction = None | без действий жертвы |
S:C | Scope = Changed | выходит за границу |
C:H / I:H / A:H | CIA = всё High | прочитано, изменено и остановлено |
Что отличает 10.0 от 9.8
Сделайте Scope «Unchanged» (S:U) в том примере — и те же условия дают 9.8. Именно то, выходит ли это за границу (S:C), достигает максимума 10.0. Так что 9.8 против 10.0 = «оба худшего класса, но радиус поражения отличается на одну ступень».
v3.1 против v4.0: обе сейчас в обороте
Текущая версия — v4.0 (2023), но большинство CVE всё ещё оценивается по v3.1 (2019), поэтому пока эти две сосуществуют.
| CVSS v3.1 | CVSS v4.0 | |
|---|---|---|
| Выпуск | 2019 | 2023 |
| Обозначение | оценка + вектор | CVSS-B / BT / BE / BTE, назначение явно |
| User Interaction | None / Required (2) | None / Passive / Active (3) |
| Scope | Scope(S), одна метрика | разделяет воздействие на «уязвимую систему» и «последующую систему» |
| Дополнительно | нет | добавляет вспомогательные метрики (автоматизируемость, восстановление, безопасность…) |
Не позволяйте оценке управлять вами в одиночку
Шкала делает CVSS мощным. Но оценка — это теоретическое значение для наихудшего случая. На практике умножайте её на два фактора.
Проверьте, эксплуатируется ли она (KEV)
Уязвимости, наблюдаемые под реальной атакой (KEV — Known Exploited Vulnerabilities), — высший приоритет независимо от оценки. «По вам стреляют прямо сейчас» перевешивает теоретическое число.
Проверьте, используете ли вы затронутую функцию
CVSS 10.0 имеет малое реальное воздействие, если вы не используете компонент; средняя оценка — высший приоритет, если вы попадаете на неё в продакшене. Судите по реально работающей версии.
Опубликованную CVSS 10.0, отброшенную как «не моя проблема», привела к инциденту с мошенническими списаниями. Оценка — никогда не повод запускать дело. → Запущенная CVSS 10.0
Читать дальше
- Глоссарий: Что такое CVE · Что такое RCE
- Защита: Встройте CVE/CVSS в свой рабочий процесс
FAQ
QУ CVSS есть настоящая шкала оценки или это на глаз?
У него есть определённая шкала. Вы выбираете метрики — вектор атаки (AV), сложность атаки (AC), требуемые привилегии (PR), взаимодействие пользователя (UI), область (S) и конфиденциальность/целостность/доступность (CIA) — и прогоняете их через публичную формулу, получая 0.0–10.0. Она спроектирована воспроизводимой: одни и те же входные данные дают одну и ту же оценку.
QКто выставляет оценку?
Стандарт поддерживается FIRST. Оценки отдельных CVE выставляются NVD (NIST) или вендорами по этой шкале. Одну и ту же уязвимость разные оценщики могут оценить немного по-разному.
QС какой оценки это опасно?
Как ориентир: 9.0–10.0 — Critical, 7.0–8.9 — High, 4.0–6.9 — Medium, 0.1–3.9 — Low. Но оценка — это теоретическое значение для наихудшего случая; проверяйте также, применимо ли это к вашей конфигурации.
QВсегда ли высокий CVSS нужно исправлять в первую очередь?
Обычно да, но важнее, эксплуатируется ли она активно (KEV) и используете ли вы затронутую функцию. 10.0, которой вы не пользуетесь, может иметь нулевое воздействие; средняя оценка при активной эксплуатации — высший приоритет.