Whatsapp
¿Sabes cuáles son los principales cambios entre CVSS v3.1 Y CVSS v4.0?

¿Sabes cuáles son los principales cambios entre CVSS v3.1 Y CVSS v4.0?

28 mayo 2024

En Segtics Soluciones te explicamos los cambios entre una versión y otra.

Lo primero que hay que saber es que CVSS es un sistema de puntuación estandarizado, utilizado para evaluar la gravedad de las vulnerabilidades de seguridad en sistemas informáticos. Su función principal es clasificar las vulnerabilidades mediante una puntuación que varia de cero (0) a diez (10), lo que permite determinar si representan un riesgo bajo o alto.

 

Representación de los cambios de la versión 3.1 a la versión 4

 

Grupo base métrica:

Se retiró la métrica del alcance (Scope) y ahora en la nueva versión se agregó requisitos de ataque (Attack Requirements) a nivel del sub grupo métricas de explotabilidad (Explotability Metrics).

En el sub grupo métricas de impacto, se añadieron confidencialidad posterior del sistema (Subsequent System Confidentiality), integridad del sistema posterior (Subsequent System Integrity), disponibilidad posterior del sistema (Subsequent System Availability).

 

Algunas de las métricas actualizadas son:

Interacción del usuario (User Interaction): en la versión anterior solo teniamos dos opciones: ninguno (N) y requerido (R), es decir, si la vulnerabilidad para ser explotada requiere o no de alguna interacción por parte del usuario. En el CVSS v4 ahora tiene tres opciones:

  • Ninguno (N): el sistema vulnerable se puede explotar sin la interacción de ningún usuario que no sea el atacante.
  • Pasivo (P): la explotación exitosa de esta vulnerabilidad requiere una interacción limitada por parte del usuario objetivo con el componente vulnerable. Estas interacciones se considerarían involuntarias y no requieren que el usuario remueva activamente las protecciones integradas en el componente vulnerable.
  • Activo (A): la explotación exitosa de esta vulnerabilidad requiere que un usuario objetivo realice interacciones específicas y conscientes con el componente vulnerable o las interacciones del usuario remuevan activamente los mecanismos de protección.

 

Grupo de métricas temporales renombrado como grupo de métricas de amenazas (Exploit Maturity):

En la versión CVSS v3.1 teníamos tres métricas temporales: Madurez del Código del Exploit (Exploit Code Maturity), Nivel de Remediación (Remediation Level) y Confianza del Informe (Report Confidence).

Los tres niveles indicados en el CVSS v3.1 fueron absorbidos por un solo nivel para dar mayor facilidad: “Madurez de Explotación” (Exploit Maturity). Además, se renombró el grupo “Métricas Temporales” y ahora pasan a llamarse “Métricas de Amenazas”.

Todo se resume así es de fácil explotación de la vulnerabilidad a través de herramientas automatizadas, si es que sólo existe una PoC o si aún no existe una herramienta pública.

 

Nuevo Grupo en CVSS v4: Métricas suplementarias

Estas nuevas métricas describen y miden atributos extrínsecos adicionales de una vulnerabilidad. Estas métricas se utilizan como valores COMPLEMENTARIOS sobre una vulnerabilidad para que las organizaciones adviertan la importancia y significancia sobre las mismas.

Es importante mencionar que esta métrica NO CAMBIA LA PUNTUACIÓN CVSS v4, es decir, sus valores son llenados principalmente como datos de uso interno y no para cambiar la puntuación de la vulnerabilidad, ya que, no importa los valores que se ingresen debido a que estos no cambian la puntuación, sin embargo, se podrían utilizar para describir características singulares de la vulnerabilidad.

 

Grupo Métricas suplementarias

  • Automatizable: Indica si el proceso es automatizable desde la identificación hasta la explotación.
  • Recuperación: Esta métrica describe la capacidad del sistema para recuperarse, en términos de rendimiento y disponibilidad, después de que se haya realizado un ataque.
  • Densidad de valor: Describe los recursos sobre los que el atacante obtendrá el control con un solo evento al explotar la vulnerabilidad. Tiene dos valores posibles: difuso y concentrado; esta métrica busca identificar si al tomar el control del computador vulnerable se obtendrá acceso a recursos limitados o múltiples.
  • Esfuerzo de respuesta a la vulnerabilidad: Proporciona información complementaria sobre lo difícil que es para las organizaciones dar una respuesta inicial al impacto de las vulnerabilidades en su infraestructura, es decir, información adicional sobre el esfuerzo requerido al aplicar mitigaciones y/o programar la remediación.
  • Urgencia del proveedor: Proporciona información sobre la URGENCIA en atender la vulnerabilidad. Los valores van desde una urgencia MAYOR hasta una urgencia NULA.

 

Conclusión:

En resumen, CVSS v4.0 introduce mejoras significativas en la precisión, granularidad y contextualización de las evaluaciones de vulnerabilidad. Las nuevas métricas y ajustes en las existentes permiten una mejor representación del riesgo asociado con cada vulnerabilidad, proporcionando a las organizaciones herramientas más robustas para gestionar su seguridad informática.

 

Referencias:
https://www.first.org/cvss/v4-0/