CVSS系统因未能解决实际影响而受到批评

Charlie Osborne
2023年2月21日 15:34 UTC

分析：JFrog认为漏洞风险指标需要彻底改革

安全工具供应商JFrog的最新研究突显了现有通用漏洞评分系统（CVSS）的缺陷，现有指标被认为导致某些漏洞被“过度炒作”。

所谓“评分虚高”可能消耗网络安全团队有限的时间，使他们无法专注于最可能影响其组织的问题，而是去处理那些被普遍认为关键的问题。

JFrog的分析涉及访问流行的CVSS，这是一个评估安全问题严重性的开放行业标准框架。该系统由非营利组织事件响应与安全团队论坛（FIRST）管理，国家漏洞数据库（NVD）为已确认的漏洞提供CVSS评分。

JFrog的分析专注于评估开源软件中安全漏洞的影响，结论是公共CVSS影响指标可能过度简化了漏洞带来的风险，因为它缺乏上下文等因素。

根据报告《对DevOps和DevSecOps团队影响最大的开源安全漏洞分析》（PDF），公共严重性评级与JFrog内部对2022年top 50 CVE的评估存在“差异”。

JFrog的安全研究人员表示，在“大多数”情况下，公司自身的CVE（通用漏洞与暴露）严重性评估低于NVD分配的评级——“意味着这些漏洞经常被过度炒作”。

例如，X.509证书验证中的缓冲区溢出CVE-2022-3602（CVSS 7.5）曾引起严重关注——直到漏洞利用技术细节发布，显示其实际影响微乎其微。

总体而言，64%的top 50 CVE被赋予了较低的JFrog严重性评级，而90%的评级被下调或持平。

JFrog表示，许多NVD安全评级是“不应得的”，因为它们并不像报道的那样容易利用。此外，许多分析的漏洞需要复杂的配置环境或特定条件才能成功攻击。

该网络安全公司的另一批评是，在分配CVE攻击复杂性指标时可能缺乏上下文。例如，应考虑潜在易受攻击软件的部署方式、网络环境、软件使用方式，或易受攻击的API是否最终会解析不可信数据。结果是严重性评级可能被设置得过高或过低。

JFrog还观察到，2022年影响企业的10个最普遍漏洞往往严重性评级较低，因此被企业IT团队和开源项目维护者视为较低优先级——导致修复工作被延迟或（更糟）完全忽视。

如果认为某个漏洞太小而不值得关注，开发人员可能不会创建补丁，JFrog表示这只会随着时间的推移增加受影响系统的数量。相反，如果CVSS评级高但实际影响被认为微不足道，威胁级别可能被错误地误导。

JFrog安全研究高级总监Shachar Menashe告诉The Daily Swig，最佳解决方案是更新CVSS标准，包含提供更多上下文的字段，例如默认配置中的可利用性以及是否存在依赖上下文的攻击向量。

Menashe补充道：“既然每个人都已经使用CVSS，这是阻力最小的路径。CVSS v4.0已经开发了很长时间，但仍然没有具体的可用日期。”

“除此之外，NVD需要更开放地接受CNA提交的CVSS评分（CNA提交的CVSS经常被忽略）。还有另一个新的比较方案——EPSS，但我认为其可行性尚未得到证明，且实施非常不透明，因此我们只能等待并根据未来的实证结果进行判断。”

许多网络安全专家承认现有CVSS系统存在局限性，经验是在漏洞评估期间填补空白的关键。JFrog进行的定量研究支持了许多信息安全专业人士的“直觉”，即当前的漏洞评分系统需要改革。

当被问及JFrog的批评时，FIRST执行董事Chris Gibson表示，一般来说，“评分提供商提供‘合理最坏情况’的基础评分，并依赖消费者来减轻（降低）最终评分”。

根据Gibson的说法，时间威胁信息、资产关键性、补偿控制（如防火墙过滤器）和其他环境评分“旨在将评分降低到更合适、适用的水平”。

“第三方，如JFrog，可以通过提供威胁情报（时间评分）来帮助消费者，允许使用完整的CVSS评分来更好地跟踪补丁优先级和技术风险。”

当被问及潜在改进时，Gibson表示CVSS v4.0“即将推出”，并将包括产品开发者提供补充紧急评级的方法，从而“更准确地表示漏洞在其实施中的紧迫性，而不是依赖OSS库提供商的最坏情况评分”。

“只要记住其缺点，CVSS系统就可以有用。例如，CVSS可能会对漏洞评分而不考虑重要的上下文因素，如发现漏洞的环境以及潜在的商业或运营影响。”

AutoRABIT产品管理副总裁Prashanth Samudrala告诉The Daily Swig：“该系统依赖于当前可用信息，这意味着它可能基于不完整或不正确的信息做出决策。虽然CVSS系统可能有帮助，但应与其他评估方法一起使用以获得准确评估。”