CVSS系统因未能解决实际影响而受批评

Charlie Osborne
2023年2月21日 15:34 UTC

JFrog认为漏洞风险指标需要彻底改革。分析显示，现有CVSS评分系统的弱点通过新研究被凸显，现有指标被认为对某些漏洞“过度炒作”。所谓的“评分膨胀”可能消耗网络安全团队的有限时间，导致他们可能不关注最可能影响其组织的问题，而是关注那些被普遍认为关键的问题。

安全工具供应商JFrog进行的分析涉及评估常见的通用漏洞评分系统（CVSS），这是一个开放的行业标准框架，用于评估安全问题的严重性。该系统由非营利组织事件响应和安全团队论坛（FIRST）管理，国家漏洞数据库（NVD）为确认的漏洞提供CVSS评分。

JFrog的分析专注于评估开源软件中安全漏洞的影响，结论是公共CVSS影响指标可能过度简化了漏洞带来的风险，因为它缺乏上下文等因素。

关键评估

根据报告“分析对DevOps和DevSecOps团队影响最大的开源安全漏洞”（PDF），公共严重性评级与JFrog内部对2022年top 50 CVE的评估存在“差异”。JFrog的安全研究人员表示，在“大多数”情况下，公司自身的CVE（常见漏洞和暴露）严重性评估低于NVD分配的评级——“意味着这些漏洞经常被过度炒作”。

例如，X.509证书验证中的缓冲区溢出CVE-2022-3602（CVSS 7.5）曾引起严重关注——直到漏洞利用技术细节发布，显示其实际影响微乎其微，研究人员称。总体而言，top 50 CVE中64%的漏洞被JFrog评为较低严重性，而90%的漏洞获得较低或相等的评级。

上下文依赖

JFrog表示，许多NVD安全评级“不配得”，因为它们不像报道的那样容易利用。此外，许多分析的漏洞需要复杂的配置环境或特定条件才能成功攻击。

该网络安全公司的另一批评是，在分配CVE攻击复杂性指标时可能缺乏上下文。例如，应考虑潜在易受攻击软件的部署方式、网络环境、软件使用方式，或易受攻击的API是否最终会解析不受信任的数据，所有这些都应进行分析。结果是严重性评级可能被设置得过高或过低。

误导优先级风险

JFrog还观察到，2022年影响企业的最普遍漏洞中，10个往往具有低严重性评级，因此被企业IT团队和开源项目维护者视为较低优先级——导致修复工作被延迟或（更糟）完全忽略。

如果认为一个漏洞太小而不值得处理，开发人员可能不会创建补丁，JFrog称这只会随着时间的推移增加受影响系统的数量。相反，如果CVSS评级高但实际影响被认为微乎其微，威胁级别可能被错误地误导。

JFrog安全研究高级总监Shachar Menashe告诉The Daily Swig，最佳解决方案是更新CVSS标准，包含提供更多上下文的字段，例如默认配置中的可利用性以及是否存在上下文依赖的攻击向量。

Menashe补充说：“既然每个人都已经使用CVSS，这是阻力最小的路径。CVSS v4.0已经开发了很长时间，但仍然没有具体的可用日期。此外，NVD需要更开放地接受CNA提交的CVSS评分（CNA提交的CVSS多次被忽略）。还有另一个新的比较方案——EPSS，但我认为其可行性尚未得到证明，实施非常不透明，因此我们只能等待并根据未来的经验结果判断。”

许多网络安全专家承认现有CVSS系统有限，经验在漏洞评估中填补了空白。JFrog进行的定量研究支持了许多信息安全专业人士的“直觉感觉”，即当前漏洞评分系统需要改革。

FIRST回应

当被问及JFrog的批评时，FIRST执行董事Chris Gibson表示，总体而言，“评分提供商提供‘合理最坏情况’的基础评分，并依赖消费者来减轻（降低）最终评分”。时间威胁信息、资产关键性、补偿控制（如防火墙过滤器）和其他环境评分“旨在将评分降低到更合适、适用的水平”，根据Gibson。

“第三方，如JFrog，可以通过提供威胁情报（时间评分）来帮助消费者，允许使用完整CVSS评分以更好地跟踪补丁优先级和技术风险。”当被问及潜在改进时，Gibson表示CVSS v4.0“即将推出”，并将包括产品开发者提供补充紧急评级的方法，导致“更准确地表示漏洞在其实施中的紧迫性，而不是依赖OSS库提供商的最坏情况评分”。

“CVSS系统只要记住其缺点就可以有用。例如，CVSS可能评分一个漏洞而不考虑重要的上下文因素，如发现它的环境以及潜在的商业或运营影响。”AutoRABIT产品管理副总裁Prashanth Samudrala告诉The Daily Swig：“该系统依赖于当前可用信息，这意味着它可能基于不完整或不正确的信息做出决策。虽然CVSS系统可能有帮助，但它应与其他评估手段一起使用以获得准确评估。”