El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS, por sus siglas en inglés) ha sido actualizado a la versión 4.0, lo cual fue anunciado de manera oficial por el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST). Esta actualización se realiza ocho años después del lanzamiento de CVSS v3.0, la versión previa del sistema. Durante su 35ª conferencia anual, celebrada en junio en Montreal, Canadá, FIRST presentó CVSS 4.0 a los asistentes. El Sistema de Puntuación de Vulnerabilidades Comunes, también conocido como CVSS, es un marco estandarizado para evaluar la gravedad de las vulnerabilidades de software. Lo hace asignando puntuaciones numéricas o etiquetas cualitativas (como bajo, medio, alto y crítico) basadas en factores como la explotabilidad, el impacto en la confidencialidad, integridad, disponibilidad y privilegios necesarios, con puntuaciones más altas indicando vulnerabilidades más graves.
El Sistema de Puntuación de Vulnerabilidades Comunes, más comúnmente referido como CVSS, es una metodología que proporciona un marco para evaluar y comunicar la gravedad de las vulnerabilidades de software. Ofrece una forma estandarizada que las organizaciones y expertos en seguridad pueden utilizar para analizar las vulnerabilidades en función de las características de las mismas y luego priorizarlas. Las calificaciones de CVSS ayudan a tomar decisiones informadas sobre cuáles vulnerabilidades deben abordarse primero y cómo se deben distribuir los recursos para la gestión de vulnerabilidades.
Ha habido varias versiones de CVSS, y cada versión ha incluido mejoras y modificaciones que permiten evaluar de manera más precisa la gravedad de las vulnerabilidades. La versión anterior, CVSS 3.1, ha sido actualizada a la versión actual, CVSS 4.0, que incluye una serie de actualizaciones y mejoras significativas, como las siguientes:
CVSS 4.0 ha sido diseñado con el objetivo de simplificar el sistema de puntuación y hacerlo más accesible para los usuarios. Facilita el proceso de puntuación, lo que lo hace más sencillo de comprender y poner en práctica por parte de los expertos en seguridad.
Puntuación precisa: CVSS 4.0 incluye mejoras en la puntuación para permitir evaluaciones más precisas de las vulnerabilidades. Estas mejoras se lograron mediante la introducción de nuevos métodos de puntuación. Mejora los parámetros base, temporales y ambientales para lograr una representación más precisa del efecto real de una vulnerabilidad.
Métricas mejoradas: Proporciona nuevas métricas, como Alcance y Vector de Ataque, para ofrecer más información sobre la naturaleza de la vulnerabilidad y su impacto en el sistema. Métricas mejoradas.
Fórmula: CVSS 4.0 viene con una fórmula revisada que se puede utilizar para determinar la puntuación total en la escala CVSS. Cuando se combina con indicadores adicionales, esta fórmula proporciona una representación más precisa de la gravedad de las vulnerabilidades.
Información contextual: Cuando se trata de calificar vulnerabilidades, CVSS 4.0 recomienda encarecidamente aprovechar cualquier información contextual disponible. Esto contribuye a proporcionar una evaluación de vulnerabilidad más precisa y relevante según las circunstancias específicas de implementación.
Mayor flexibilidad en la puntuación: La versión actualizada ofrece un mayor grado de flexibilidad en la puntuación de vulnerabilidades. Los usuarios tienen la opción de elegir varios criterios temporales y ambientales para que los datos representen de manera más precisa sus situaciones únicas.
El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) versión 4.0 marca un avance en la puntuación de vulnerabilidades y resuelve algunas de las limitaciones que estaban presentes en las versiones anteriores. Busca ofrecer un sistema para analizar y priorizar vulnerabilidades que sea más preciso y fácil de usar, con el objetivo final de ayudar a las organizaciones a mejorar su postura de seguridad centrándose en los problemas más apremiantes. Con el fin de mejorar sus procedimientos de gestión de vulnerabilidades, los profesionales de la seguridad y las organizaciones deben familiarizarse con CVSS 4.0 y considerar su implementación.
Tomemos un ejemplo de cómo utilizarías CVSS 4.0 para determinar el grado de gravedad de una vulnerabilidad de software. Para este ejemplo, utilizaremos una vulnerabilidad ficticia:
Descripción de la vulnerabilidad: Una aplicación contiene una vulnerabilidad de desbordamiento de búfer, que un atacante puede explotar para ejecutar código arbitrario en el sistema afectado.
Así es como utilizarías CVSS 4.0 para evaluar la gravedad de esta vulnerabilidad:
Métricas base:
Vector de Ataque (AV): La vulnerabilidad puede ser explotada a través de la red (AV:N). El atacante no necesita acceso local al sistema.
Complejidad del Ataque (AC): El ataque no requiere condiciones especiales (AC:BAJA). Es relativamente fácil de explotar.
Privilegios Requeridos (PR): El atacante necesita obtener privilegios elevados (PR:ALTO). Esto lo hace más difícil de explotar.
Interacción del Usuario (UI): No se requiere interacción del usuario (UI:NINGUNA).
Alcance (S): El alcance de la vulnerabilidad no cambia y no afecta a otros componentes (S:INALTERADO).
Métricas temporales:
Madurez del Código de Explotación (E): Hay pruebas de concepto disponibles, pero no se conocen exploits en la naturaleza (E:POC).
Nivel de Remediación (RL): Hay una solución oficial disponible (RL:SOLUCIÓN-OFICIAL).
Confianza del Informe (RC): La vulnerabilidad ha sido confirmada por múltiples fuentes (RC:ALTA).
Métricas Ambientales (Específicas de la configuración de la organización):
Vector de Ataque Modificado (MAV): Los controles de seguridad de la organización han dificultado que los atacantes aprovechen esta vulnerabilidad (MAV:RED).
Complejidad del Ataque Modificada (MAC): Las medidas de seguridad de la organización han aumentado la dificultad de la explotación (MAC:ALTA).
Privilegios Requeridos Modificados (MPR): La configuración de seguridad de la organización requiere privilegios más bajos para una explotación exitosa.
Ahora, puedes calcular la puntuación CVSS 4.0 en función de estas métricas:
- Calcula la Puntuación Base: En este caso, podría ser, por ejemplo, 7.8.
- Calcula la Puntuación Temporal teniendo en cuenta las métricas temporales: Supongamos que es 6.2.
- Calcula la Puntuación Ambiental, teniendo en cuenta las métricas ambientales y los factores específicos de la organización: La puntuación final podría ser 4.3.
La puntuación CVSS 4.0 global para esta vulnerabilidad sería la Puntuación Ambiental, que en este ejemplo es 4.3. Esta puntuación ayuda a las organizaciones a comprender la gravedad de la vulnerabilidad en su contexto específico, considerando las mitigaciones y configuraciones implementadas.
Cuanto mayor sea la puntuación CVSS, más grave será la vulnerabilidad. Las organizaciones pueden priorizar la corrección de las vulnerabilidades con puntuaciones más altas para mejorar su postura de seguridad. CVSS 4.0 ofrece más flexibilidad en este proceso.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
