CVSS: анализ векторов атак. Мини-курс по оценке уязвимостей

Оценка уязвимостей по CVSS: от теории к практике#

Часть 1. Основы CVSS: метрики и векторы#

Что такое CVSS?#

CVSS разрабатывается форумом FIRST (Forum of Incident Response and Security Teams). Актуальная версия — CVSS v3.1, но уже появилась CVSS v4.0. Мы будем рассматривать v3.1 как наиболее распространенную.

Оценка CVSS состоит из трех групп метрик:

1. Базовые метрики (Base) — характеризуют неотъемлемые свойства уязвимости (не меняются со временем и от среды).
2. Временные метрики (Temporal) — учитывают изменяющиеся факторы (наличие эксплойта, патча).
3. Контекстные метрики (Environmental) — учитывают особенности конкретной ИТ-среды (важность актива, меры компенсации).

Итоговая оценка: CVSS Score = f(Base, Temporal, Environmental)

Структура вектора CVSS#

Вектор CVSS выглядит примерно так:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Разберем на примере уязвимости CVE-2021-44228 (Log4Shell):

Итоговая базовая оценка: 10.0 (Critical)

Таблица метрик CVSS v3.1#

Базовые метрики#

Временные метрики (опционально)#

Контекстные метрики (опционально)#

Часть 2. Расчет CVSS: формула и примеры#

Формула расчета#

FIRST публикует полную спецификацию формул. Для практики проще использовать калькуляторы, но понимать логику полезно.

Базовая оценка рассчитывается по формуле:

Base Score = Impact Sub-Score + Exploitability Sub-Score

Где:

• Impact Sub-Score зависит от C, I, A и Scope
• Exploitability Sub-Score зависит от AV, AC, PR, UI

Для Scope = Unchanged:

Impact = 6.42 * (1 - (1 - C) * (1 - I) * (1 - A))
Exploitability = 8.22 * AV * AC * PR * UI
Base = (Impact + Exploitability) округленно

Пример 1: Log4Shell (CVE-2021-44228)#

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Расчет:

• Exploitability = 8.22 × 0.85 × 0.77 × 0.85 × 0.85 = 3.9
• Impact = 6.42 × (1 - (1 - 0.56) × (1 - 0.56) × (1 - 0.56)) = 6.42 × (1 - 0.44³) = 6.42 × 0.915 = 5.9
• Base = 3.9 + 5.9 = 9.8 → округляем до 10.0

Пример 2: Уязвимость межсайтового скриптинга (XSS)#

CVE-2023-12345 (условная): XSS в веб-приложении, требует клика пользователя.

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Расчет для Scope = Changed:

• Exploitability = 8.22 × 0.85 × 0.77 × 0.85 × 0.62 = 2.8
• Impact = 7.52 × (ISC - 0.029) - 3.25 × (ISC - 0.02)^15, где ISC = 1 - (1 - C) × (1 - I) × (1 - A) = 1 - (0.78 × 0.78 × 1) = 1 - 0.6084 = 0.3916
• Impact = 7.52 × (0.3916 - 0.029) - 3.25 × (0.3916 - 0.02)^15 ≈ 2.7 - 0 ≈ 2.7
• Base = 2.8 + 2.7 = 5.5 (Medium)

Онлайн-калькуляторы#

Чтобы не считать вручную, используйте:

• Официальный калькулятор FIRST: https://www.first.org/cvss/calculator/
• NVD CVSS Calculator: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

Часть 3. Open-source инструменты для анализа CVSS#

1. Инструменты для сканирования уязвимостей (с поддержкой CVSS)#

2. Инструменты для управления уязвимостями (с CVSS-аналитикой)#

3. Библиотеки для разработчиков (интеграция CVSS в свои скрипты)#

Пример: автоматический расчет CVSS по CVE#

# Установка: pip install nvdlib cvss

import nvdlib
import cvss

# Получаем данные по CVE из NVD
cve_id = "CVE-2021-44228"
cve = nvdlib.get_cve(cve_id)[0]

# Извлекаем вектор CVSS v3
vector = cve.v31vector  # CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

# Парсим и рассчитываем оценку
c = cvss.CVSS3(vector)
print(f"CVE: {cve_id}")
print(f"Vector: {vector}")
print(f"Base Score: {c.scores()[0]}")  # 10.0
print(f"Severity: {c.severities()[0]}")  # CRITICAL

Часть 4. Международные коммерческие решения#

Для среднего бизнеса, где важна автоматизация, интеграция и поддержка, стоит рассмотреть коммерческие продукты.

Когда выбирать международное решение#

• У вас распределенная ИТ-инфраструктура
• Нужна интеграция с SIEM/SOAR
• Требуется поддержка множества сканеров
• Готовы платить за удобство и актуальность данных

Часть 5. Отечественные решения#

Для компаний, подпадающих под регуляторные требования (КИИ, госсектор), или стратегии импортозамещения актуальны российские продукты.

Пример работы с MaxPatrol VM#

1. Настройка цели сканирования — указываем IP-диапазоны
2. Запуск сканирования — выявляются активные сервисы, ОС, установленное ПО
3. Сопоставление с базой уязвимостей — MPVM использует собственную базу PT, обогащенную данными из CVE/CVSS
4. Формирование отчета — каждая уязвимость имеет:
   • CVSS v3 вектор и оценку
   • Описание угрозы
   • Рекомендации по устранению
   • Ссылки на CVE
5. Приоритизация — учитывается не только CVSS, но и критичность актива, наличие эксплойтов

Часть 6. Как внедрить CVSS-анализ на небольшом предприятии#

Пошаговый план для малого бизнеса (до 50 сотрудников, до 100 хостов)#

Шаг 1. Инвентаризация активов#

Составьте список всего, что нужно защищать:

• Серверы (физические/виртуальные)
• Рабочие станции
• Сетевое оборудование
• Веб-приложения
• Облачные сервисы

Шаг 2. Выбор инструмента (open-source)#

Начните с OpenVAS (Greenbone). Это бесплатно, мощно и с поддержкой CVSS.

Установка OpenVAS (на Ubuntu/Debian):

# Добавляем репозиторий
sudo apt update
sudo apt install docker.io docker-compose -y

# Запускаем Greenbone Community Edition
wget https://raw.githubusercontent.com/greenbone/docker-compose-files/master/docker-compose.yml
sudo docker-compose -f docker-compose.yml up -d

Интерфейс: через браузер https://ваш-сервер (логин/пароль задаются при установке).

Шаг 3. Настройка сканирования#

1. Создайте цель (Target) — укажите IP-адреса или диапазоны.
2. Выберите конфигурацию сканирования (например, “Full and fast”).
3. Запустите задачу (Task).

Шаг 4. Анализ результатов#

После сканирования вы получите отчет. Каждая находка содержит:

• CVE ID (например, CVE-2021-44228)
• CVSS v3 Score (например, 10.0)
• Вектор CVSS (например, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• Описание и рекомендации

Шаг 5. Приоритизация и устранение#

Используйте правило: CVSS >= 7.0 — критично, исправлять в первую очередь. Но учитывайте контекст:

• Есть ли патч?
• Доступен ли эксплойт?
• Насколько критичен актив для бизнеса?

Для учета контекста используйте простую таблицу:

Шаг 6. Автоматизация сбора данных#

Настройте еженедельное сканирование и отправку отчетов на email.

Что делать среднему и крупному бизнесу#

Если у вас:

• Более 500 хостов
• Распределенная инфраструктура (филиалы, облака)
• Требования регуляторов (ФСТЭК, ЦБ)
• Нужна интеграция с SIEM/SOAR
• Команда ИБ от 3 человек

Рекомендация: обратиться к профессионалам.

Часть 7. Пример сквозного анализа#

Ситуация#

Небольшая компания (50 сотрудников) имеет:

• Веб-сайт на WordPress (хостинг)
• Почтовый сервер на базе Exim
• 30 рабочих станций Windows 10
• Файловый сервер (Samba на Linux)

Задача#

Провести анализ уязвимостей, оценить их по CVSS, составить план устранения.

Инструменты#

• OpenVAS для сетевого сканирования
• WPScan для проверки WordPress
• Vuls для проверки Linux-серверов

Результаты сканирования (фрагмент)#

Приоритизация с учетом контекста#

План действий#

1. Немедленно: обновить Exim на почтовом сервере (отключить интернет до обновления).
2. В течение 2 дней: обновить WordPress (сделать бэкап, обновить плагины).
3. В течение недели: обновить Samba, настроить автоматические обновления Windows.
4. Внедрить регулярное сканирование (раз в неделю OpenVAS, раз в месяц полный аудит).

Часть 8. Ресурсы и ссылки#