脆弱性

【脆弱性】CVSSv3スコアの評価基準

2017年11月28日


CVSSv3スコアの算出基準

NVD、JVNが公表しているCVSSv3スコアの算出基準の情報が、以下NVDのサイトに掲載されている。

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

ページ中央の「Base Score Metrics」の各メトリックにそれぞれ値を選ぶと、上段にCVSS Base Scoreが算出される。

ex)  7.2 High
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

◯以下メトリックごとの解説

Attack Vector (AV)* 攻撃者はどこから攻撃可能か
ネットワーク越し

②隣接ローカルネットワーク
③ローカル
④直接物理マシンに触れる
Attack Complexity (AC)* 攻撃の複雑さ
①簡単
②困難
Privileges Required (PR)* 攻撃に必要な権限
None→いらん
Low→一般ユーザ程度③High→管理者権限
User Interaction (UI)* ユーザのアクションが
①要る
②要らない
Scope (S)* 攻撃された場合の影響範囲
①脆弱なコンポーネントの管理範囲内のみ
②脆弱なコンポーネントの管理範囲外に及ぶ
Confidentiality Impact (C)* 機密性への影響
①ない
②低い
③高い
Integrity Impact (I)* 完全性への影響
①ない
②低い
③高い
Availability Impact (A)* 可用性への影響
①ない
②低い
③高い

メトリックのAttack Vectorについて

○ローカル
・対象システムを物理アクセスやローカル環境から攻撃する必要がある
ex) IEEE 1394、USB経由、ローカルアクセス権限あり

○隣接ネットワーク
・対象システムを隣接ネットワークから攻撃できる
ex) 同セグメント、Bluetooth、IEEE 802.11

○ネットワーク
・対象システムをネットワーク経由でリモートから攻撃可能
ex) RPC バッファオーバーフロー攻撃

メトリックのScopeについて

脆弱性を内包するソフトウェアAがある。
脆弱性を突いた攻撃により、影響を受けるコンポーネント(他のソフトウェアやデータ)が、
ソフトウェアAの管理権限があるものに限られる場合、Scope値が「変更なし(U)」になる。
逆に、ソフトウェアAの管理権限がないコンポーネントにまで干渉し影響を与える場合にScope値が「変更あり(S)」になる。

◯以下イメージ図

以下FFRIのサイトでは、この例として2つを挙げている。
①サンドボックスをバイパス可能な脆弱性
②仮想マシンの脆弱性により、ゲストOSからホストOSのファイルに干渉できてしまう

参考:http://www.ffri.jp/blog/2016/960/2016-11-17.htm

CATEGORIES & TAGS

脆弱性,

Author:

カテゴリー

むるし

フリーランスのインフラ系エンジニア。
備忘録で色々書いていきます。
お問い合わせは↓
mo-gyu@murci.net
保有:LPIC303 Security、CCNA