Evaluación de vulnerabilidades en la era digital: CVSS 4.0

La rápida evolución experimentada en el sector de la informática y de las tecnologías de la información ha generado nuevos vectores de riesgo a nivel global. En este entorno, caracterizado por la continua y acelerada evolución de las amenazas tecnológicas, es indispensable evaluarlas y clasificarlas. Este proceso es esencial para comprender adecuadamente la magnitud y la naturaleza de los riesgos presentes, permitiendo así el desarrollo e implementación de estrategias efectivas de mitigación y respuesta.

En este contexto encontramos el “Sistema Común de Vulnerabilidades” o CVSS de sus siglas en inglés (Common Vulnerability Scoring System), un marco de referencia estandarizado y de código abierto, que desde su lanzamiento en 2005 ha desempeñado un papel crucial en la gestión de vulnerabilidades IT en todo el mundo. Con el tiempo, este sistema ha sido objeto de múltiples revisiones y actualizaciones para mantener su relevancia en el sector y mostrar la capacidad de adaptación ante el dinamismo de las amenazas y los cambios e innovaciones tecnológicas. La última versión, CVSS v4.0, fue presentada el pasado mes de noviembre ofreciendo mejoras y funcionalidades adicionales que permiten una evaluación de vulnerabilidades más precisa y adaptada al contexto de los sistemas y tecnologías subyacentes.

Novedades de CVSS v4.0 frente a CVSS v3.1

El CVSS es un sistema de puntuación que proporciona una forma estandarizada de evaluar las vulnerabilidades de los sistemas informáticos. Las puntuaciones se calculan a partir de una fórmula, que en base al análisis realizado de varias métricas, proporciona una puntuación tal y como se observa a continuación:

CVSS v3.1

La versión CVSS v3.1 estaba basada en tres grupos de métricas:

Base: mide el impacto en la confidencialidad, integridad y disponibilidad del sistema, la complejidad de la explotación y la requerida interacción del usuario.
Temporal: mide la gravedad de la vulnerabilidad en función del tiempo transcurrido desde su divulgación y la disponibilidad de parches y exploits.
Ambiental: mide la gravedad de la vulnerabilidad en función del entorno específico en el que se encuentra el sistema afectado. Incluye métricas como la modificación de los privilegios y la complejidad de la implementación.

Estas métricas, tal y como se puede apreciar en la siguiente imagen, incluyen diferentes datos con los que realizar el cálculo y asignarle la puntuación más adecuada a cada vulnerabilidad:

CVSS v4.0

La versión CVSS v4.0, incorpora una dimensión adicional, «Suplemental Metric Group», y redefine las anteriores de manera que quedan estructuradas de la siguiente manera:

Base o «Base Metric Group»: Mide la explotabilidad y el impacto de una vulnerabilidad mediante características constantes a lo largo del tiempo.
Amenaza o «Threat Metric Group»: Refleja la facilidad y los medios técnicos con los que puede explotarse la vulnerabilidad, así como la consecuencia directa de la ejecución de un «exploit» y su impacto posterior.
Ambiental o «Environmental Metric Group»: Representa las características que son relevantes y únicas para el entorno concreto en el que se da la vulnerabilidad calculada.
Suplementarias o «Supplemental Metric Group»: son nuevas métricas que describen y miden atributos extrínsecos adicionales de una vulnerabilidad.

La diferencia entre los conceptos evaluados para la métrica en las versiones mencionadas es notable, y puede ser resumida en los siguientes puntos:

Se incorporan nuevos conceptos en el «Base Metric Group», así como los “requisitos de ataque” y el “impacto posterior”.
Se elimina el concepto “alcance (Scope)” en el grupo base, dada la naturaleza ambigua del mismo.
El grupo de métricas Temporal o «Temporal Metric Group” ha sido renombrado por Amenaza o «Threat Metric Group» así como modificado su contenido, de forma que se han visto ampliadas las opciones en cuanto a “madurez del exploit” y eliminadas las métricas “nivel de mitigación” y “confianza de los informes”.
Dentro del grupo de métricas ambientales o «Environmental Metric Group» se han añadido atributos permitiendo ahora la valoración de vulnerabilidades en sistemas “IoT” (Internet de las cosas) y “ICS” (Sistemas de control industrial), y sistemas protegidos por firewalls.
Se ha creado un nuevo grupo de métricas de carácter complementario o «Supplemental Metric Group» para que las organizaciones puedan asignar sin obligación a ello, la importancia e impactos reales a cada vulnerabilidad.

Ejemplo de aplicación

Con el objetivo de plantear un caso práctico con el que poder ver el uso de la métrica, supongamos la vulnerabilidad CVE-2022-41741 de NGINX. Esta vulnerabilidad tiene una métrica base de 7.3 según CVSS 4.0:

Este valor se obtiene analizando la vulnerabilidad y aplicando los valores adecuados a la dimensión «base», tal y como se observa en la siguiente tabla:

Para la obtención del valor numérico de la métrica podemos, entre otros, emplear la calculadora que desde el FIRST ponen a disposición de cualquiera que quiera llevar a cabo esta tarea y da la valoración directamente:

A pesar de los resultados obtenidos y las pruebas realizadas para ambas versiones, existen más variables que pueden añadirse como las características de entorno o las métricas complementarias que el responsable del mantenimiento del software afectado suele indicar o a partir de la realización de las revisiones periódicas de vulnerabilidades.

El CVSS, en cualquiera de sus versiones, sigue siendo una herramienta esencial para la evaluación de vulnerabilidades. La transición de la versión 3 a la versión 4 está mejorando la precisión y la comprensión de las amenazas, permitiendo a los profesionales de la ciberseguridad tomar decisiones más informadas sobre cómo abordar y mitigar riesgos en un entorno digital en constante cambio.

La importancia de priorizar las vulnerabilidades

En Perseus Cybersecurity Services, utilizamos el CVSS a lo largo de nuestros procesos de análisis de vulnerabilidades y los diferentes proyectos en los que trabajamos para establecer las prioridades e indicar a nuestros clientes de manera cercana, personalizada y profesional, los pasos a seguir con cada vulnerabilidad descubierta. De hecho, lo conjugamos con diferentes enfoques, como ya hablamos anteriormente en otro artículo, para priorizar, filtrar y poner orden en la gran cantidad de vulnerabilidades que es necesario gestionar.

Tomando como base el valor CVSS que proporcionan los fabricantes para las vulnerabilidades, y analizando el resto de dimensiones de estas, complementamos este dato con otra información como:

¿Existe un exploit para esta vulnerabilidad, y qué madurez tiene’
¿Existe movimiento en foros underground sobre el uso de esta vulnerabilidad?
¿Está en uso actualmente por actores de amenazas de forma activa?
¿Qué probabilidad de explotabilidad tiene la vulnerabilidad?
¿Qué técnicas explota esta vulnerabilidad, o siguen a su explotación, y cómo tienen nuestros clientes cubiertas/protegidas esas técnicas?

Analizando esto en detalle se da contexto real sobre el entorno de los clientes y sus vulnerabilidades y permite priorizar aquellas más urgentes y desarrollar un plan realista para el resto.

Ander Gutiérrez

Técnico de ciberseguridad

ander.gutierrez@pers.eus

PGP KeyID: 0xD851DEF3

Parque Tecnológico Edif. 205B | 48170 Zamudio – Bizkaia

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.