Skip to content

CVSS: Guía Completa con Ejemplos Prácticos

5/5 - (1 voto)

 

cvss

CVSS

En este artículo encontrarás una guía completa de todos los detalles CVSS explicado con ejemplos prácticos y además en la conclusión descubrirás como CVSS puede ayudarte a mejorar tu ciberseguridad.

 

¿Qué es CVSS en Ciberseguridad?

CVSS son las siglas de Common Vulnerability Scoring System (Sistema Común de Puntuación de Vulnerabilidades). Es una forma de evaluar y clasificar las vulnerabilidades notificadas de manera estandarizada.

Los valores CVSS son los siguientes:

CVSS Puntuación BaseCVSS Nivel de Gravedad
0Ninguna
0.1 – 3.9Baja
4.0 – 6.9Media
7.0 – 8.9Alta
9.0 – 10.0Crítica
(Puntuación de CVSS v3)

 

El objetivo de CVSS es comparar vulnerabilidades en diferentes aplicaciones y de diferentes proveedores con un enfoque estandarizado, repetible e independiente del proveedor.

CVSS genera una puntuación de 0 a 10 basada en la gravedad de la vulnerabilidad.

Una puntuación de 0 significa que la vulnerabilidad no es importante, mayor que 9 implica una vulnerabilidad crítica.

La utilidad de utilizar CVSS es poder dedicar los recursos priorizando en función de la gravedad de las vulnerabilidades. Así puedes centrarte primero en las más críticas y reducir el riesgo global para tu organización.

¿Cómo se calcula la puntuación CVSS?

El cálculo de la puntuación CVSS se realiza evaluando los siguientes factores

 

1.- Vector de ataque

 

  • Red.- Es alcanzable desde una red IP.
  • Adyacente.- Es alcanzable desde una subred, por ejemplo bluetooth, o una subred 801.11 sin routers.
  • Local .- El atacante tiene que tener acceso a recursos locales, por ejemplo al disco local, mediante permisos en el sistema de archivos.
  • Físico. Requiere que el atacante tenga acceso físico al recurso. Por ejemplo, reiniciar un sistema, con un sistema operativo diferente.

El valos más alto se asigna al vector Red, y el más bajo al vector físico.

2.-Complejidad de ataque

La Complejidad de Ataque se reduce a lo difícil que es explotar la vulnerabilidad.Existen dos valores posibles para esto, que son:

  • Baja.
  • Alta.


La complejidad de ataque baja generará la puntuación más alta.

3.- Privilegios requeridos

Indica qué privilegios necesita tener el atacante ANTES de explotar la vulnerabilidad. Los valores posibles son:

  • Ninguno.
  • Bajo.
  • Alto.


Ninguno significa que no hay acceso a ninguna configuración o archivo del sistema.

Bajo significa que el usuario tiene permisos estándar y Alto significa que se necesitan privilegios de administrador.

4.- Interacción con el usuario

Define cómo debe interactuar el usuario para explotar con éxito la vulnerabilidad. Las opciones son:

  • Ninguna o
  • Requerido.


Cuando no se requiere ningún usuario, el impacto en la puntuación CVSS es el más alto.

5.- Alcance

Este es un factor un poco más difícil de entender. Aquí se trata de medir si la vulnerabilidad puede afectar a elementos que están fuera del componente afectado.

Los valores aquí son:

  • Sin modificar o
  • Modificado,

Ejemplos de ámbito:

Un sistema operativo.- Si el ataque se centra en el ámbito del sistema operativo y no puede salir, tenemos un alcance «Sin modificar»

podrían ser una aplicación, si el ataque a esa aplicación permite acceder también al sistema opeativo y otras aplicaciones tenemos un alcance: Modificado.

Un   «alcance modificado» tiene el mayor impacto que un alcance «sin modificar»

6.- Confidencialidad

La confidencialidad es la posibilidad de acceso no autorizado a información sensible.

Por ejemplo.- Entrar en la base de datos de una agencia de viajes, y descargar todos los datos de los clientes.

Los valores posibles son:

  • Alto,
  • Bajo o
  • Ninguna.

7.- Integridad

Este componente mide el potencial de modificación no autorizada, una violación de datos o la eliminación de datos. Los valores potenciales son:

Por ejemplo.- Acceder a la base de datos de un comercio online y modificar los pedidos, poner el estado de pagado para que envíen mercancías a una dirección sin realizar el pago.

  • Alto,
  • Bajo o
  • Ninguno.
  • Alto es el más grave.

8.- Disponibilidad

La disponibilidad intenta medir el potencial de denegación de acceso a usuarios autorizados.

Por ejemplo, un ataque de denegación de servicio a una aplicación web, que impida a los usuarios legítimos acceder a este recurso.

Los valores potenciales para la Disponibilidad son:

  • Alta,
  • Baja, o
  • Ninguna.
  • Alta es la más grave.

 

Ejemplo de cálculo de CVSS v3

Vamos a ver un ejemplo muy sencillo que nos va a dar el CVSS score máximo que es 10.

Supongamos que tenemos una máquina publicada en Internet con una aplicación web muy antigua  que requiere de  Windows7 como sistema operativo.

La aplicación  contiene los datos médicos de una compañía de seguros y tiene que estar disponible para los clientes 24×7.

!El peor de los escenarios!

Vamos a calcular su CVSS usando esta calculadora web cvss en linea del NIST:

CVSS Calculator:

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

Vector de ataque: Red, ya que la máquina es accesible desde Internet.

Complejidad del ataque: Bajo, ya que W7 es un sistema operativo extinto y tiene vulnerabilidades reconocidas por el fabricante, hay múltiples exploits automáticos.

Privilegios requeridos: Ninguno, no hace falta ninguna credencial de usuario para obtener acceso a la máquina, mediante los exploits de Windows 7.

Interacción de usuario: Ninguna, no es necesario que el usuario haga click, el exploit no requiere la interacción del usuario.

Ámbito: Modificado, una vez obtenido acceso de administrador al sistema operativo, el acceso a los datos de la aplicación es fácil.

Confidencialidad: Alta, los datos que almacena la aplicación son datos médicos, especialmente sensibles.

Integridad: Alta, si el atacante borra los datos de un usuario, este se puede quedar sin seguro médico, luego el impacto en la integridad es alto.

Disponibilidad: Alta, la aplicación debe de funcionar las 24 horas.

Si introducimos los valores en la utilidad online, tenemos una puntuación CVSS de 10 CRITICA

cvss vulnerabilidades

 

que es cvss
Nivel de Gravedad Verde, Amarillo, Naranja y Rojo en CVSS

Conclusión:

Los recursos en una organización son limitados, y los dedicados a la ciberseguridad no son una excepción.


El sistema de puntuación de CVSS proporciona una escala cuantitativa que ayuda a entender la criticidad de las amenazas de seguridad.

Comprender cómo funciona el la puntuación CVSS y qué factores contribuyen al cálculo es útil ya que permite priorizar y tomar decisiones mejor informadas sobre qué vulnerabilidades abordar y en qué orden.

 

CVSS mejora la seguridad de tu organización ya que simplifica la gestión de las amenazas de ciberseguridad, hay que priorizar y dedicar recursos a mitigar aquellas que tengan una puntuación CVSS más alta.