Как читать CVSS и CVE: оценка уязвимостей, шкалы риска и процесс присвоения идентификаторов

1637
Как читать CVSS и CVE: оценка уязвимостей, шкалы риска и процесс присвоения идентификаторов

В описаниях уязвимостей часто встречается короткая строка вроде AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Для неподготовленного читателя она выглядит как технический мусор, но для специалиста по безопасности такая запись быстро отвечает на главные вопросы: откуда атакуют, нужны ли права, должен ли пользователь что-то нажать и насколько сильно пострадают данные, целостность и доступность системы.

Эта строка относится к CVSS, то есть Common Vulnerability Scoring System. CVSS даёт уязвимости числовую оценку от 0 до 10 и текстовую категорию серьёзности. Ноль означает отсутствие влияния, 10 означает максимальную критичность. При этом CVSS не равен реальному риску для конкретной компании. Система описывает техническую серьёзность уязвимости, а риск зависит ещё от того, есть ли уязвимый продукт в инфраструктуре, открыт ли он в интернет, применяются ли компенсирующие меры и замечены ли атаки в реальности.

Что означает вектор CVSS на практике

Вектор AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H записан в формате CVSS 3.x. Полная форма обычно выглядит так: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Такая комбинация даёт базовую оценку 8.8, то есть High, но не Critical. Причина проста: уязвимость опасная, удалённая и без требования прав, однако для атаки нужно действие пользователя.

AV:N означает Attack Vector: Network. Атакующий может действовать через сеть, а не через локальный доступ к машине. Для защитника это тревожный сигнал, потому что удалённые уязвимости легче массово сканировать и эксплуатировать.

AC:L означает Attack Complexity: Low. Условия эксплуатации простые, атакующему не нужна редкая конфигурация, гонка состояний или сложная подготовка. PR:N означает Privileges Required: None. Перед атакой не нужно входить в систему или иметь учётную запись.

UI:R означает User Interaction: Required. Жертва должна выполнить действие, например открыть документ, перейти по ссылке или обработать специально подготовленный файл. Такой пункт снижает оценку по сравнению с полностью автономной удалённой эксплуатацией, но не делает проблему безобидной. Фишинг и социальная инженерия как раз строятся на том, что пользователя можно подтолкнуть к нужному действию.

S:U означает Scope: Unchanged. Успешная атака остаётся в пределах того же компонента безопасности. Если бы эксплуатация позволяла перескочить в другую область контроля, например из песочницы браузера в операционную систему, показатель мог бы быть S:C, то есть Changed.

C:H, I:H и A:H описывают влияние на конфиденциальность, целостность и доступность. В данном случае все три параметра имеют уровень High. Значит, атака может привести к серьёзной утечке данных, изменению информации и нарушению работы сервиса. Именно сочетание удалённой эксплуатации, отсутствия прав и высокого влияния делает такую уязвимость приоритетной для анализа и исправления.

Фрагмент Расшифровка Смысл для защитника
AV:N Attack Vector: Network Атаковать можно удалённо через сеть
AC:L Attack Complexity: Low Эксплуатация не требует сложных условий
PR:N Privileges Required: None Учётная запись атакующему не нужна
UI:R User Interaction: Required Пользователь должен совершить действие
S:U Scope: Unchanged Атака не выходит за границы исходного компонента безопасности
C:H/I:H/A:H High impact Серьёзный ущерб для данных, целостности и доступности

Кто принял CVSS и почему версий несколько

CVSS не является законом и не принадлежит одному вендору. Стандарт развивает FIRST, международный Форум команд реагирования на инциденты. На официальной странице FIRST CVSS описан как открытая система для передачи характеристик и серьёзности уязвимостей. За спецификацию отвечает профильная рабочая группа, а пользоваться шкалой могут вендоры, исследователи, государственные базы, сканеры безопасности и корпоративные команды.

На практике чаще встречаются CVSS 3.1 и CVSS 4.0. Версия 3.1 остаётся массовой в базах и отчётах, потому что огромный объём старых записей уже оценён в этом формате. CVSS 4.0 уточняет модель и меняет набор метрик: вместо старых групп Base, Temporal и Environmental появились Base, Threat, Environmental и Supplemental. Например, в CVSS 4.0 отдельно учитывается Attack Requirements, а влияние разбивается на уязвимую систему и последующие системы.

Для читателя главный вывод простой: версия CVSS имеет значение. Один и тот же дефект, пересчитанный по разным версиям, может выглядеть иначе. Поэтому в хорошем отчёте указывают не только число, но и полный вектор. Оценка 8.8 без вектора говорит мало, а строка с метриками показывает, почему система дала именно такой балл.

Есть ли другие шкалы кроме CVSS

CVSS удобен как общий язык, но одного CVSS недостаточно для нормальной приоритизации. Уязвимость с оценкой 9.8 может годами оставаться теоретической для конкретной компании, если продукт не используется или закрыт от внешней сети. Уязвимость с оценкой 7.5 может стать срочной, если активно эксплуатируется в атаках и затрагивает публичный сервис.

Поэтому команды безопасности часто смотрят на дополнительные источники. EPSS, тоже развиваемый FIRST, оценивает вероятность эксплуатации CVE в ближайшей перспективе. Балл EPSS ближе к вопросу «насколько вероятно, что по этой уязвимости будут бить», а CVSS отвечает на вопрос «насколько серьёзны технические последствия».

Каталог CISA KEV устроен ещё проще: уязвимость попадает туда, когда есть подтверждение эксплуатации в реальных атаках. Для многих организаций попадание в KEV автоматически повышает приоритет патча, даже если CVSS не максимальный.

Методика SSVC помогает принимать решение через дерево факторов. Она учитывает эксплуатацию, техническое влияние, автоматизируемость атаки и значимость системы для организации. В отличие от CVSS, SSVC не пытается свести всё к универсальному числу, а ведёт к практическому решению: отслеживать, планировать исправление или действовать срочно.

В веб-безопасности до сих пор применяют OWASP Risk Rating Methodology. Методика оценивает вероятность и влияние, а затем помогает получить риск в контексте приложения. Такой подход полезен для пентестов и внутренних отчётов, где важна не только уязвимость, но и бизнес-последствия.

Что такое CVE и кто присваивает идентификаторы

CVE не является оценкой серьёзности. CVE, например CVE-2024-3094 или CVE-2023-4863, служит уникальным идентификатором публично раскрытой уязвимости. Без такого номера отрасль быстро утонула бы в разных названиях одного и того же дефекта. Один вендор назвал бы проблему «ошибка проверки границ», другой — «RCE в модуле обработки изображений», третий — «критический баг в библиотеке». CVE связывает все описания одной меткой.

Миссия CVE Program формулируется как выявление, определение и каталогизация публично раскрытых уязвимостей. Административную и инфраструктурную поддержку программе оказывает MITRE, а сами идентификаторы присваивают CVE Numbering Authorities, или CNA. Это уполномоченные организации: крупные вендоры, исследовательские центры, координационные структуры и отраслевые команды.

Процесс обычно выглядит так. Исследователь находит дефект и сообщает вендору или подходящей CNA. Организация проверяет, соответствует ли проблема правилам включения в CVE, не дублирует ли уже известную запись и сколько отдельных уязвимостей нужно описать. Затем CNA резервирует CVE ID, готовит запись и публикует её после раскрытия. Если подходящей CNA нет, запрос можно направить через MITRE или другую координирующую структуру.

После публикации CVE запись могут обогащать другие базы. Например, NVD, база Национального института стандартов и технологий США, добавляет метрики CVSS, ссылки, сведения о продуктах через CPE и классификацию слабостей через CWE. Поэтому CVE и NVD не стоит смешивать. CVE даёт идентификатор и базовое описание, NVD добавляет аналитический слой.

Почему оценки иногда спорные

Оценка уязвимости редко бывает полностью механической. Разные команды могут по-разному трактовать условия атаки, нужные привилегии или влияние на систему. Вендор иногда оценивает дефект мягче, исследователь — жёстче, а NVD публикует собственный вектор. Расхождение не всегда означает ошибку. Часто стороны просто смотрят на разные сценарии эксплуатации.

CVSS также не знает всей инфраструктуры конкретной компании. Уязвимость в системе, которая стоит в изолированной лаборатории, и та же уязвимость на публичном шлюзе требуют разной реакции. Поэтому mature-подход выглядит так: сначала команда смотрит CVSS, затем проверяет наличие продукта, экспозицию в интернет, EPSS, KEV, доступность эксплойта, критичность актива и компенсирующие меры.

При чтении новости или бюллетеня полезно держать в голове три уровня. CVE отвечает на вопрос «о какой уязвимости речь». CVSS отвечает на вопрос «насколько серьёзны технические последствия». EPSS, KEV, SSVC и внутренний контекст отвечают на вопрос «как быстро нужно действовать именно этой организации».

Заключение

Строка AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H перестаёт выглядеть загадочно, если читать её как сжатое описание атаки. Уязвимость доступна через сеть, проста в эксплуатации, не требует прав, но требует действия пользователя. При успешной атаке серьёзно страдают конфиденциальность, целостность и доступность. В CVSS 3.1 такая комбинация обычно даёт 8.8 балла и категорию High.

CVSS полезен, потому что даёт общий язык для индустрии. Но хороший анализ уязвимости не заканчивается одним числом. CVE помогает не путать дефекты, NVD добавляет данные, EPSS показывает вероятность эксплуатации, KEV фиксирует атаки в реальном мире, а SSVC и внутренние risk-based-процессы переводят техническую оценку в понятное решение для бизнеса.

Поэтому читать уязвимость нужно не сверху вниз, а слоями: идентификатор, технический вектор, реальная эксплуатация, затронутые активы и цена задержки. Такой подход помогает не паниковать из-за каждой «критической» строки и не пропускать опасные баги, которые выглядят скромнее на бумаге.

FAQ

Что означает AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H?

Это CVSS-вектор, который описывает условия эксплуатации и последствия уязвимости. В данном случае атака возможна через сеть, не требует прав, имеет низкую сложность, но требует действия пользователя. Влияние на конфиденциальность, целостность и доступность оценивается как высокое.

CVSS 8.8 — это критическая уязвимость или нет?

В CVSS 3.1 оценка 8.8 относится к категории High, а не Critical. Критический диапазон начинается с 9.0. Однако реальный приоритет исправления зависит от эксплуатации в атаках, доступности системы из интернета и важности затронутого актива.

Чем CVE отличается от CVSS?

CVE — это идентификатор уязвимости, а CVSS — числовая и векторная оценка её серьёзности. CVE помогает понять, о каком дефекте говорят разные источники, а CVSS помогает оценить техническое влияние и условия эксплуатации.

Кто присваивает CVE уязвимостям?

CVE присваивают уполномоченные организации CNA, то есть CVE Numbering Authorities. В их число входят вендоры, исследовательские организации и координационные центры. MITRE поддерживает инфраструктуру программы и выполняет роль секретариата.

Какие шкалы оценки уязвимостей лучше использовать вместе с CVSS?

Вместе с CVSS часто используют EPSS, CISA KEV, SSVC и внутреннюю оценку риска. EPSS показывает вероятность эксплуатации, KEV подтверждает реальные атаки, SSVC помогает принять управленческое решение, а внутренний риск учитывает конкретную инфраструктуру компании.

CVSS CVE EPSS KEV SSVC NVD MITRE FIRST оценка уязвимостей
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
16
ИЮЛЯ
Вебинар
Бесплатный комплаенс и харденинг с «2К»
Узнайте, как управлять безопасностью конфигураций на автопилоте по лучшим практикам ФСТЭК с бесплатной версией решения «2К» от компании «ЛИНЗА».
Регистрируйтесь и приходите на вебинар 16 июля, начало в 11:00 по московскому времени
Реклама. 18+ ООО «Линза» ИНН 9713008320

Дэни Хайперосов

Блог об OSINT, электронике, играх и различных хакерских инструментах