01? 引言

近兩年正如許多安全公司的研究員親身經歷的那樣，網絡攻擊量顯著增加，重大漏洞被相繼爆出并伴隨著在野利用。如去年年底的log4shell（CVE-2021-44228）和今年爆出的spring4shell（CVE-2022-22965）在安全圈里都掀起了不小的風浪。由于在分析spring漏洞時cve編號還沒有出來，自評影響力也沒那么“核彈級”，后續就沒怎么關注這個漏洞的。最近突然想看看這個漏洞的CVSS評分，看看官方是怎么給這漏洞做影響力定義的。查看后發現該漏洞CVSSV2.0評分為7.5，CVSS3.1的評分為9.8。那么CVSS的評分依據究竟是什么？2.x和3.x的評分標準區別在哪？是否分數越高就表示漏洞危害越大？近年來又有哪些CVSS評分為滿分的漏洞？本篇文章想就這些問題跟大家簡單聊一聊。

02? CVSS評分依據

2.1 CVSS評分指標

CVSS全稱為Common Vulnerability Scoring System，即“通用漏洞評分系統”，是一個行業公開的標準。其被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度。CVSS是安全內容自動化協議（SCAP）的一部分，通常CVSS和CVE一同由美國國家漏洞庫（NVD）發布并保持數據的更新。CVSS標準由FIRST制定，并由其組織團隊SIG（The CVSS Special Interest Group）改進和推廣。通過漏洞難易程度以及對機密性、完整性、可用性的影響綜合評估后，生成一個0到10分之間的評分值來評估漏洞的嚴重程度。

CVSS的評分指標由三部分組成：

1、基礎評價（Base Metric Group）：

評估漏洞本身固有的一些特點及這些特點可能造成的影響?；A評價指的是一個漏洞的內在特征，該特征隨時間和用戶環境保持不變，基礎評價是CVSS評分里最重要的一個指標，我們一般說的CVSS評分都是指漏洞的基礎評價得分。

2、生命周期評價(Temporal Metric Group)：

此指標衡量當前利用技術或代碼可用性的狀態，是否存在任何補丁或解決方法或者漏洞報告的可信度等。生命周期評價幾乎肯定會隨著時間的推移而改變。

3、環境評價（Environmental Metric Group）：

這些指標使分析師能夠根據受影響的IT資產對用戶組織的重要性定制CVSS評分，并根據組織基礎結構中組件的情況的分配分值。

2.2 基礎評價對比

不同版本的CVSS對以上三個維度的評價方式略有不同，CVSS2.0在基礎評價階段主要評估攻擊途徑、攻擊復雜度、認證、機密性、完整性和可用性幾個方面，評分要素如下表所示：

最終基礎評價的計算方式為

基礎評價得分=10*攻擊途徑*攻擊復雜度*認證*（（機密性*機密性權重）+（完整性*完整性權重）+（可用性*可用性權重））

CVSS3.1相比于2.0在評價要素和分值上都做了調整，評價因子如下表所示：

CVSS3.1基礎評價的計算方法也比2.0要復雜許多，評分由可利用性評分和影響度評分兩部分構成：

基礎評價得分=可利用性評分+影響度評分

要計算這兩個分值我們需要先了解CVSS3.0開始引用的一個新機制——“作用域”，作用域反映了軟件組件中的漏洞會否影響其以外的資源或獲得其以外的權限，有“固定”和“變化”兩種形態，分別表示：

unchanged(U) 固定：

被利用的漏洞只能影響由同一當局管理的資源。在這種情況下，脆弱組件和受影響組件是同一個。

changed(C)? 變化：

被利用的漏洞可能會影響超出脆弱組件預期授權權限的資源。在這種情況下，脆弱組件和受影響組件并非同一個。

可利用性評分的計算方式比較簡單，注意其中權限要求部分會隨著作用域的變化而變化，最終計算公式為：

可利用性評分=8.22*攻擊途徑*攻擊復雜度*權限要求*用戶交互

影響度評分要稍微復雜些，其計算方式為：

當作用域=固定：影響度分值=6.42*ISCbase當作用域=變化：影響度分值=7.52*(ISCbase?0.029)?3.25*(ISCbase-0.02)^15其中：ISCbase=1-[(1-機密性影響)×(1-完整性影響)×(1-可用性影響)]

2.3?生命周期評價對比

CVSS2.0和CVSS3.1對生命周期評價的要素基本一致，都包括了利用代碼成熟度、補丁完善水平和報告可信度三個方面，差別主要在具體的分值上，評價標準對比表如下所示：

計算方式比較簡單，2.x和3.x都一樣：

生命周期評價得分=10*利用代碼成熟度*補丁完善水平*報告可信度

2.4?環境評價對比

CVSS2.0和CVSS3.1在環境評價的要素和記分方式上差別很大。CVSS2.0的環境評價要素如下表所示：

計算公式為：

環境評價得分=[生命周期評價+(10-生命周期評價)*危害影響程度]*目標分布范圍

CVSS3.1的環境評價要素主要由保密性需求、完整性需求和可用性需求構成，如下表所示：

計算公式比較復雜，和2.2里講的“作用域”有一定關系，同時有“有修正”和“無修正”兩種計算方式。首先我們需要計算出2.2里基礎評分指標的“影響度評分”。

當影響度<=0時，環境評價分值為0

當影響度>0 且 “無修正”：環境評價分值為

Roundup(Roundup(Min[(M.影響度分值+M.可利用度分值),10])*利用代碼成熟度*補丁完善水平*報告可信度)

當影響度>0 且 “有修正”：環境評價分值為

Roundup(Roundup(Min[1.08*(M.影響度分值+M.可利用度分值),10])*利用代碼成熟度*補丁完善水平*報告可信度)

其中：

1、Roundup為保留小數點后一位并向上取整（小數點后第二位大于零則進一）

2、Min為比較前后兩值，取小者

3、M. 代表被修正后的分數，若對應項無修改，則為原值。

4、影響力修正得分公式為：

作用域為固定：影響度修正分=6.42*ISCModified作用域為變化：影響度修正分=7.52*(ISCModified?0.029)?3.25*(ISCModified-0.02)^15其中：ISCModified=Min(1-[(1-M.機密性影響*M.機密性需求)*(1-M.完整性影響*M.完整性需求)*(1-M.可用性影響*M.可用性需求)],0.915)

5、可利用度修正得分公式為：

M.可利用度分值=8.22*M.攻擊途徑*M.攻擊復雜度*M.權限需求*M.用戶交互

2.5?漏洞等級

CVSS2.0對漏洞等級的定義有低、中、高三個級別，CVSS3.0開始補充了“嚴重”這個級別，具體如下表所示，表中的CVSS分數均代表的基礎評價分數：

03? 評分案例分析

那么是否CVSS評分越高的漏洞就真的越嚴重呢？我們可以先來看看CVSS對歷史經典漏洞永恒之藍（CVE-2017-0143）的評分結果：

永恒之藍漏洞的嚴重性和影響力自然不必多說，但CVSS3.X的最終評分僅為8.1分，甚至都沒有進入嚴重級別（Critical）這一檔。由于永恒之藍爆發時還沒有3.1的標準，我們可以先通過3.0的標準（與3.1基本一致）來分析下該漏洞為什么在CVSS的評分不高。

永恒之藍漏洞的評分詳情為：

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

參考2.2小節里CVSS3.1的評分標準，這里：

AV(Attack Vector)代表攻擊途徑

AC(Attack Complexity)代表攻擊復雜度

PR(Privileges Required)代表權限要求

UI(User Interaction)代表用戶交互

S(Scope)代表作用域

C(Confidentiality Impact)代表機密性影響度

I(Integrity Impact)代表完整性影響度

A(Availability Impact)代表可用性影響度

最終結果為：

失分項主要有兩個地方，一是攻擊復雜度評價給的高，通俗點講就是該漏洞的利用難度較高。因為永恒之藍是一個遠程溢出漏洞，poc和exp調試比較困難。

另外該漏洞的作用域評價為固定，因為該漏洞只影響SMB協議，不涉及其他組件、服務或協議。從2.2小節里可以看出，作用域一是會影響“權限要求”項的評分，二是會影響基礎評價里“影響度”的評分公式。由于永恒之藍漏洞由于權限要求評價項為“無”，因此這里只會對“影響度”的評分造成影響，以上兩個原因造成了永恒之藍漏洞的CVSS評分并沒有大家想的那么高。

另外一些看上去不怎么起眼的漏洞CVSS卻會給出較高的評分，例如Samba遠程代碼執行漏洞（CVE-2021-44142），這個漏洞在Samba默認配置下并不會觸發，同時利用穩定性也不高，暴露面中規中矩，但CVSS卻給了8.8分，比永恒之藍評分還要高，評分詳情為：

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

可以看出僅因該漏洞的利用復雜度比永恒之藍低，總體評分就比永恒之藍高了，這從漏洞影響面來看顯然是不太科學的。

此外篇頭提到的兩個漏洞log4shell（CVE-2021-44228）和spring4shell（CVE-2022-22965）的評分分別為10分和9.8分，事實上這兩個漏洞在評分上所有選項都是最高分，唯一區別是一個作用域可變，一個作用域固定，最終影響了計算公式：

Log4j2：

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Spring：

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

這里CVSS對作用域的定義還是比較客觀的，因為log4j2是一個組件，只要調用了log4j2相應版本這個系統就會受到威脅，因此作用域為可變；而Spring4Shell只是一個框架，作用域為固定。事實上如果一個漏洞作用域為固定，換言之該漏洞只影響某個獨立的組件，那么該漏洞注定得不到10分，最高分也只有9.8分，這也是為什么我們能看到那么多9.8分的經典漏洞的原因。

04? CVSS滿分漏洞盤點

以CVSS3.1為參考標準，從2021年以來至今，9-10分的漏洞共有1586個，其中滿分的漏洞共有69個。

以下為從2021年至今的滿分漏洞清單列表，事實上并不是所有的漏洞都能配得上滿分。這些漏洞被評為滿分的原因主要還是因為漏洞復雜度低、利用條件低且能影響多個組件，對漏洞實際影響范圍、危害程度和利用穩定性等因素在基礎評分里并未體現。感興趣的同學可以自行做一個分析：

?

點擊閱讀https://mp.weixin.qq.com/s/OVFsUZkjaK8TgothZjBd5A

總結

以上是生活随笔為你收集整理的CVSS评分策略分析及近年来满分漏洞盘点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。