Poza liczbami: Wynik CVSS nie odzwierciedla rzeczywistych zagrożeń

Analiza, przygotowana przez producenta narzędzi bezpieczeństwa JFrog, polegała na uzyskaniu dostępu do popularnego Common Vulnerability Scoring System (CVSS), otwartego, standardowego systemu oceny powagi problemów bezpieczeństwa. Systemem zarządza organizacja non-profit Forum of Incident Response and Security Teams (FIRST), a National Vulnerability Database (NVD) dostarcza wyniki CVSS dla potwierdzonych luk w zabezpieczeniach. Analiza JFrog, która koncentrowała się na dostępie do wpływu błędów bezpieczeństwa w oprogramowaniu typu open source, wykazała, że publiczne wskaźniki wpływu CVSS mogą nadmiernie upraszczać ryzyko stwarzane przez luki, ponieważ brakuje im między innymi kontekstu.

JFrog przeprowadził analizę 50 najlepszych CVE z 2022 roku i znalazł znaczną „rozbieżność” między publicznymi ocenami dotkliwości a ocenami własnymi firmy. W „większości” przypadków ocena ciężkości CVE JFrog była niższa niż ocena przyznana w National Vulnerability Database (NVD), co wskazywało na to, że te luki były przereklamowane. Na przykład, przekroczenie bufora w weryfikacji certyfikatów X.509 (CVE-2022-3602) było początkowo uważane za znaczące zagrożenie, ale dalsze badania wykazały jedynie marginalny wpływ w świecie rzeczywistym. W sumie JFrog przypisał niższą ocenę powagi 64% z 50 najlepszych CVE, podczas gdy 90% z nich otrzymało niższą lub równą ocenę.

Analiza JFrog ujawnia, że oceny bezpieczeństwa NVD są często „niedostrzegane”, ponieważ nie uwzględniają złożoności wymaganej do ich wykorzystania. Wiele z analizowanych podatności wymaga specyficznych konfiguracji środowiskowych lub warunków do przeprowadzenia udanego ataku. JFrog krytykuje również brak kontekstu przy przypisywaniu metryk złożoności ataku CVE, powołując się na potrzebę oceny czynników takich jak sposób wdrożenia oprogramowania, środowisko sieciowe oraz to, czy podatne API może przetwarzać niezaufane dane. W rezultacie obecny system może ustalać oceny ciężkości na zbyt wysokim lub zbyt niskim poziomie, co może mieć wpływ na podejmowanie decyzji i przydział zasobów.

Firma JFrog zaobserwowała również, że 10 z najbardziej rozpowszechnionych luk w zabezpieczeniach w 2022 r. mających wpływ na przedsiębiorstwa ma zwykle niską ocenę ważności i jest uważanych za niższy priorytet dla zespołów IT przedsiębiorstw i opiekunów projektów open source – w związku z czym prace naprawcze są opóźniane lub (co gorsza) całkowicie pomijane. Jeśli błąd zostanie uznany za zbyt mały, programiści mogą nie utworzyć poprawki, co według JFrog może z czasem tylko zwiększyć liczbę dotkniętych nim systemów. W przeciwieństwie do tego, jeśli ocena CVSS jest wysoka, ale rzeczywisty wpływ jest uważany za niewielki, poziom zagrożenia może zostać uznany za mylący. Rozmawiając z The Daily Swig, Shachar Menashe, starszy dyrektor ds. badań nad bezpieczeństwem w JFrog, powiedział, że najlepszym rozwiązaniem byłoby zaktualizowanie standardu CVSS, aby zawierał pola, które dostarczałyby więcej kontekstu, takie jak exploitability w domyślnych konfiguracjach i czy istnieją wektory ataku zależne od kontekstu.

Jeśli chodzi o potencjalne ulepszenia, Chris Gibson, dyrektor wykonawczy organizacji non-profit Forum of Incident Response and Security Teams (FIRST) wspomniał, że CVSS v4.0 jest w trakcie opracowywania i pozwoli twórcom produktów na dostarczenie dodatkowych ocen pilności, co doprowadzi do dokładniejszego przedstawienia pilności luki w ich implementacji. Zastrzegł również, że system CVSS ma ograniczenia, takie jak nieuwzględnianie czynników kontekstowych, takich jak środowisko, w którym znaleziono lukę oraz jej potencjalny wpływ handlowy lub operacyjny.