CVSS系统因未能反映实际影响而受到批评

Charlie Osborne
2023年2月21日 15:34 UTC

JFrog认为漏洞风险指标需要彻底改革。新研究揭示了现有CVSS评分系统的缺陷，现有指标被认为“过度炒作”某些漏洞。

这些所谓的“虚高”评级可能消耗网络安全团队的有限时间，使他们无法专注于最可能影响其组织的问题，而是去处理那些被普遍认为严重的问题。

关键评估

安全工具供应商JFrog进行的分析涉及访问流行的通用漏洞评分系统(CVSS)，这是一个评估安全问题严重性的开放行业标准框架。该系统由非营利组织事件响应与安全团队论坛(FIRST)管理，国家漏洞数据库(NVD)为已确认的漏洞提供CVSS评分。

JFrog的分析专注于评估开源软件中安全漏洞的影响，结论是公共CVSS影响指标可能过度简化了漏洞带来的风险，因为它缺乏上下文等因素。

根据报告《对DevOps和DevSecOps团队影响最大的开源安全漏洞分析》，公共严重性评级与JFrog内部对2022年前50个CVE的评估存在“差异”。

JFrog的安全研究人员表示，在“大多数”情况下，公司自身的CVE严重性评估低于NVD分配的评级——“这意味着这些漏洞经常被过度炒作”。

例如，X.509证书验证中的缓冲区溢出CVE-2022-3602（CVSS 7.5）曾引起严重关注——但根据研究人员说法，在漏洞技术细节发布后，显示其实际影响微乎其微。

总体而言，前50个CVE中有64%获得了较低的JFrog严重性评级，而90%获得了较低或相同的评级。

依赖上下文

JFrog表示，许多NVD安全评级是“不应得的”，因为它们并不像报道的那样容易利用。此外，许多分析的漏洞需要复杂的配置环境或特定条件才能成功攻击。

该网络安全公司提出的另一个批评是，在分配CVE攻击复杂性指标时可能缺乏上下文。例如，应考虑潜在易受攻击软件的部署方式、网络环境、软件使用方式，或者易受攻击的API是否最终会解析不受信任的数据。所有这些都应进行分析。结果是严重性评级可能被设置得过高或过低。

误导优先级的风险

JFrog还观察到，2022年影响企业的最普遍漏洞中，有10个往往严重性评级较低，因此被企业IT团队和开源项目维护者视为较低优先级——导致修复工作被延迟或（更糟的是）完全忽视。

如果认为某个错误太小而不值得处理，开发人员可能不会创建补丁，JFrog表示这只会随着时间的推移增加受影响系统的数量。相比之下，如果CVSS评级很高但实际影响被认为微不足道，威胁级别可能被指责为误导。

JFrog安全研究高级总监Shachar Menashe告诉The Daily Swig，最佳解决方案是更新CVSS标准，包含提供更多上下文的字段，例如默认配置中的可利用性以及是否存在依赖于上下文的攻击向量。

Menashe补充道： “既然每个人都已经使用CVSS，这是阻力最小的路径。CVSS v4.0已经开发了很长时间，但仍然没有具体的可用日期。”

“除此之外，NVD需要更开放地接受CNA提交的CVSS评分（CNA提交的CVSS经常被忽略）。还有另一个新的比较方案——EPSS，但我认为其可行性尚未得到证实，其实施非常不透明，所以我们只能等待并根据未来的经验结果来判断。”

经验填补空白

许多网络安全专家承认现有的CVSS系统存在局限性，经验是在漏洞评估期间填补空白的关键。JFrog进行的定量研究支持了许多信息安全专业人士的“直觉”，即当前的漏洞评分系统需要改进。

FIRST回应

当被问及JFrog的批评时，FIRST执行董事Chris Gibson表示，一般来说，“评分提供商提供‘合理最坏情况’的基础评分，并依赖消费者来减轻（降低）最终评分”。

根据Gibson的说法，时间威胁信息、资产关键性、补偿控制（如防火墙过滤器）和其他环境评分“旨在将评分降低到更合适、更适用的水平”。

“第三方，如JFrog，可以通过提供威胁情报（时间评分）来帮助消费者，允许使用完整的CVSS评分来更好地跟踪补丁优先级和技术风险。”

当被问及潜在改进时，Gibson表示CVSS v4.0“即将推出”，将包括一种让产品开发者提供补充紧急评级的方法，从而“更准确地表示漏洞在其实施中的紧急性，而不是依赖OSS库提供商的最坏情况评分”。

需结合其他评估方法

AutoRABIT产品管理副总裁Prashanth Samudrala告诉The Daily Swig： “只要记住其缺点，CVSS系统就可以有用。例如，CVSS可能会在不考虑重要上下文因素（如发现漏洞的环境以及潜在的商业或运营影响）的情况下对漏洞进行评分。”

“该系统依赖于当前可用的信息，这意味着它可能基于不完整或不正确的信息做出决策。虽然CVSS系统可能有帮助，但应与其他评估方法结合使用以获得准确评估。”