مقاييس نموذج CVSS لتقييم خطورة الثغرات

في تدوينه سابقة كتبت عن نظام CVSS لتقيم الثغرات ولكن لم اتطرق لكيفية قراءة وحساب التقييم باستخدام هذا النموذج. في هذه التدوينه سوف نتعرف على كيفية قراءة التقييمات مع حساب خطورة الثغرات المكتشفة باستخدام CVSS Base Vectors. وهي تعتبر الجزء الثاني من التدوينه السابقة.

لكي نقوم بحساب خطورة ثغرة تم اكتشافها نقوم بتحليل سته مقاييس تخص الثغرة, الثلاثة المقاييس الاولى تخص استغلال الثغرة وما مدى سهوله استغلالها والثلاث المقاييس الأخرى تخص تأثير الثغرة على بيئة العمل. كل مقياس له تقييم خاص به. هذه التدوينة توضح مقاييس الاصدار الثاني من نظام CVSS. الاصدار الثالث سوف يكون تدوينة خاصه به

المقاييس كالتالي :

1 – Access Vector Metric هنا يتم اعطاء تقييم على حسب متطلبات استغلال الثغرة مثل هل من الضروري ان يكون للمهاجم اتصال بالشبكه لكي يقوم باستغلال الثغرة ام لا.

التقييمات لهذا المقياس :
Local : يجب ان يكون للمهاجم وصول الى الجهاز المصاب بالثغره لكي يتم استغلالها، وجود المهاجم في نفس الشبكه قد لا يكون كافي قيمه هذا التقييم 0.395
Adjacent Network : يجب ان يكون المهاجم متصل بنفس الشبكه التي فيها الجهاز المصاب. المهاجم يجب ان يكون في نفس الدومين ويكون متصل محليا بالشبكه ( يكون لهم نفس نطاق الايبي حيث يصلهم broadcast  يسمى في الشبكات broadcast or collision domain ) لكي يستطيع استغلال الثغره وقيمه هذا التقييم 0.646
Network : يمكن للمهاجم ان يستغل الثغره عن بعد remotely وقيمه هذا التقييم 1.000

 

2 – Access Complexity Metric : هذا القياس يصف درجه صعوبه استغلال الثغره

التقييمات لهذا المقياس :
Hight : الثغره صعبه الاستغلال وهنا يقصد ان استغلال الثغره يتم في ظروف خاصه صعب توافرها بسهولة، لا يقصد هنا خبرة المهاجم في استغلال الثغرات قيمه هذا التقييم 0.350
Medium : نوعا ما صعب ان تتواجد الظروف او المتطلبات التي تحتاجها الثغره ليتم استغلالها قيمه التقييم 0.610
Low : يمكن استغلالها بسهوله ولا تحتاج الى ظروف خاصه او متطلبات قيمه التقييم 0.710

 

3 – ِAuthentication Metric : هذا المقياس يصف اذا كان المهاجم بحاجه الى تسجيل الدخول او صلاحيات خاصه اثناء استغلال الثغره

التقييمات لهذا المقياس:
Multiple : يحتاج الى تسجيل الدخول مرتين او اكثر حتى يستغل الثغره قيمه التقييم 0.450
Single : يحتاج الى تسجيل الدخول مره واحده 0.560
None : بدون اي تسجيل دخول يمكن استغلال الثغره 0.704

 

4Confidentiality Metric : يصف هذا المقياس درجه تاثير سرية البيانات ( التشفير ) اثناء استغلال الثغرة

التقييمات لهذه المقياس :

Complete : في حالة كانت الثغره تكشف البيانات المشفره بشكل كامل قيمه التقييم  0.660
Partial : في حالة جزء من البيانات يتم كشفه قيمه التقييم  0.275
None : في حالة كانت الثغره لا تأثر على البيانات المشفرة على الاطلاق قيمه التقييم 0.000

 

5Integrity Metric : يصف هذا المقياس درجه التلاعب وتغيير البيانات الخاصه بالجهاز المصاب بالثغره

التقييمات لهذه المقياس:

Complete : في حالة كانت الثغره تسمح بتعديل البيانات  بشكل كامل قيمه التقييم  0.660
Partial : في حالة جزء من البيانات يمكن تعديله قيمه التقييم  0.275
None : في حالة كانت الثغره لا تسمح بتعديل البيانات على الاطلاق قيمه التقييم 0.000

 

6Availability Metric : هذا المقياس يصف درجه تاثير الثغره على توافر(الوصول) البيانات availability

التقييمات لهذه المقياس:

Complete : في حالة كانت الثغره تسمح للمهاجم ان يمنع المستخدمين ان يصلوا للبيانات بشكل كامل قيمه التقييم  0.660
Partial : في حالة جزء من البيانات يمكن ان يتم منعه من ان يصل اليه المستخدمين قيمه التقييم  0.275
None : في حالة كانت الثغره لا تسمح للمهاجم ان يمنع الوصول الى البيانات على الاطلاق قيمه التقييم 0.000

الان بعد معرفة المقاييس الستة لهذا النموذج، يمكننا قراءة وفهم التقيميات للثغرات. سوف ناخذ تقييم احد الثغرات من الموقع الرسمي CVSS.

تقييم لثغرة phpMyAdminReflected Cross-site Scripting Vulnerability CVE-2013-1937

يوجد العشرات من الامثلة في هذا الملف من الموقع الرسمي

https://www.first.org/cvss/cvss-v30-examples_v1.1.pdf

ايضا يمكن التعبير عن التقييم باستخدام سطر واحد فقط يسمى Vector String

CVSS:AV:A/AC:M/Au:N/C:P/I:N/A:N

تم توليد القيمه باستخدام حاسبة خاصة بنظام CVSS

https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator

حساب Exploitability و Impact  للثغره والتي لها معادلة بسيطة كالتالي

Exploitability = 20 * Access Vector * Access Complexity * Authentication

Impact = 10.41 (1 – ( 1- confidentiality ) * ( 1 – integrity ) * ( 1 – availability ) )

قيمه Impact-Function تكون صفر اذا كان impact صفر في حالة impact لم يكن صفر يتم اخذ القيمه 1.176

الحساب النهائي يكون كالتالي

Score =  (( 0.6 * impact ) + ( 0.4 * Exploitability )  – 1.5 ) * impact-function

بعد الحصول على النتيجه النهائيه لتقييم الثغره يكون لديك اربع قيم لاعطاء القيمه Low, Medium, High, Critical

كثير من الادوات لفحص الثغرات منها Nessus تقيم الثغرات كالتالي
اقل من اربعه Low
اكثر من اربعه و اقل من سته Medium
اكثر من سته واقل من عشرة Hight
عشره Critical

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.