CVSS系统因未能解决现实影响而受到批评

Charlie Osborne
2023年2月21日 15:34 UTC

分析显示漏洞风险指标需要彻底改革

安全工具供应商JFrog的最新研究凸显出现有CVSS评分系统的弱点，现有指标被认为导致某些漏洞被"过度炒作"。

所谓"评分虚高"的问题可能消耗网络安全团队有限的时间，使他们无法专注于最可能影响其组织的问题，而是去处理那些被普遍认为关键的问题。

根据《对DevOps和DevSecOps团队影响最大的开源安全漏洞分析》报告（PDF），公开严重性评级与JFrog对2022年前50个CVE的内部评估存在"差异"。

JFrog的安全研究人员表示，在"大多数"情况下，公司自身的CVE（通用漏洞与暴露）严重性评估低于NVD分配的评级——“这意味着这些漏洞经常被过度炒作”。

例如，X.509证书验证中的缓冲区溢出漏洞CVE-2022-3602（CVSS 7.5）曾引起严重关注——但根据研究人员的说法，在漏洞利用技术细节发布后，显示其现实影响很小。

总体而言，前50个CVE中有64%获得了较低的JFrog严重性评级，而90%获得了较低或相同的评级。

JFrog表示，许多NVD安全评级"名不副实"，因为它们并不像报道的那样容易利用。此外，许多分析的漏洞需要复杂的配置环境或特定条件才能成功攻击。

该网络安全公司提出的另一个批评是，在分配CVE攻击复杂性指标时可能缺乏上下文。例如，应考虑潜在易受攻击软件的部署方式、网络环境、软件使用方式，或者易受攻击的API是否最终会解析不受信任的数据。结果是严重性评级可能被设置得过高或过低。

JFrog还观察到，2022年影响企业的10个最普遍漏洞往往严重性评级较低，因此被企业IT团队和开源项目维护者视为较低优先级——导致修复工作被延迟或（更糟）完全被忽视。

如果一个漏洞被认为太小而不值得关注，开发人员可能不会创建补丁，JFrog表示这只会随着时间的推移增加受影响系统的数量。相反，如果CVSS评级很高但现实影响被认为很小，威胁级别可能会被指责为误导。

JFrog安全研究高级总监Shachar Menashe表示，最佳解决方案是更新CVSS标准，包含提供更多上下文的字段，例如默认配置中的可利用性以及是否存在依赖于上下文的攻击向量。

Menashe补充道：“既然每个人都已经在使用CVSS，这是阻力最小的路径。CVSS v4.0已经开发了很长时间，但仍然没有具体的可用日期。”

“除此之外，NVD需要更开放地接受CNA提交的CVSS分数（CNA提交的CVSS经常被忽略）。还有另一个新的比较方案——EPSS，但我认为其可行性尚未得到证实，其实施非常不透明，所以我们只能等待并根据未来的经验结果来判断。”

FIRST执行董事Chris Gibson表示，一般来说，“评分提供商提供’合理最坏情况’的基础分数，并依赖消费者来减轻（降低）最终分数”。

根据Gibson的说法，时间威胁信息、资产关键性、补偿控制（如防火墙过滤器）和其他环境分数"旨在将分数降低到更合适、适用的水平"。

“第三方（如JFrog）可以通过提供威胁情报（时间分数）来帮助消费者，允许使用完整的CVSS分数来更好地跟踪补丁优先级和技术风险。”

AutoRABIT产品管理副总裁Prashanth Samudrala告诉The Daily Swig：“该系统依赖于当前可用的信息，这意味着它可能基于不完整或不正确的信息做出决策。虽然CVSS系统可能有用，但应与其他评估方法一起使用以获得准确评估。”