Hệ thống chấm điểm lổ hổng bảo mật phổ biến (Common Vulnerability Scoring System - CVSS) hiện sử dụng song song hai phiên bản 2.0 và 3.0. Sự ra đời của phiên bản 3.0 (CVSSv3) được cộng đồng bảo mật đánh giá cao, đặc biệt là trong việc chấm điểm chính xác các lỗ hổng bảo mật liên quan đến ứng dụng web.

Một số thay đổi trong phiên bản CVSSv3

CVSSv3 đã có một số cải tiến đáng kể, cụ thể là sự thay đổi cách tính điểm cơ sở. Trong khi ba nhóm chỉ số: Điểm cơ sở, Điểm thời gian và Điểm môi trường vẫn giữ nguyên, thì các danh mục mới như Phạm vi (Scope - S) và Tương tác người dùng (User Interaction - UI) đã được thêm vào. Bên cạnh đó, một số chỉ số hiện có như Xác thực (Authentication - Au) đã được thay đổi thành Yêu cầu Đặc quyền (Privileges Required - PR). Cụ thể một số thay đổi trong CVSSv3 như sau:

Thứ nhất: Vectơ truy cập (v2.0) được đổi tên thành Vectơ tấn công (Attack Vector  - AV) và bổ sung thêm giá trị Vật lý (Physical - P). Giá trị này chỉ ra một lỗ hổng trong đó đối thủ phải có quyền truy cập vật lý vào hệ thống để khai thác lỗ hổng này.

Thứ hai: Độ phức tạp khi truy cập (v2.0) bao gồm hai vấn đề: (1) Các điều kiện về phần mềm, phần cứng hoặc mạng phải tồn tại hoặc xảy ra để lỗ hổng được khai thác thành công (ví dụ: điều kiện lỗ hổng phần mềm hoặc cấu hình ứng dụng); (2) yêu cầu về sự tương tác của con người (ví dụ: yêu cầu người dùng thực thi một tệp thực thi độc hại). Do đó, Độ phức tạp của truy cập đã được tách thành hai số liệu, Độ phức tạp tấn công (Attack Complexity - MAC) và Tương tác người dùng.

Thứ ba: Yêu cầu đặc quyền là chỉ số thay thế chỉ số Xác thực của v2.0. Thay vì đo lường số lần kẻ tấn công phải xác thực riêng biệt với hệ thống, Yêu cầu Đặc quyền nắm bắt mức độ truy cập cần thiết cho một cuộc tấn công thành công. 

Các giá trị chỉ số ảnh hưởng đến Tính bảo mật, Tính toàn vẹn và Tính khả dụng từ phiên bản 2.0 gồm None, Partial, Complete đã được thay thế bằng None, Low và High. Thay vì đại diện cho tỷ lệ (phần trăm) tổng thể của các hệ thống bị ảnh hưởng bởi một cuộc tấn công, các giá trị số liệu mới phản ánh mức độ tác động tổng thể do một cuộc tấn công gây ra. Ví dụ, trong khi lỗ hổng Heartbleed6 chỉ gây ra mất mát một lượng nhỏ thông tin, nhưng tác động lại khá nghiêm trọng. Trong CVSS v2.0, điểm này sẽ được chấm là Từng phần (Partial), còn với CVSS v3.0 điểm này thích hợp được cho là High (Cao).

Điều này ảnh hưởng đến chấm điểm các lỗ hổng như thế nào?

Về bản chất, CVSS không tính đến trường hợp kẻ tấn công sử dụng kết hợp một loạt các lỗ hổng với nhau gây ảnh hưởng đến hệ thống. Do đó, điểm CVSS nhất định có thể không phải lúc nào cũng phản ánh chính xác mức độ nghiêm trọng của một lỗ hổng cụ thể, do bối cảnh của lỗ hổng trong một tổ chức. Tuy nhiên, CVSSv3 với chỉ số cơ sở mới đã khắc phục vấn đề này, giá trị Phạm vi sẽ xác định liệu lỗ hổng bảo mật có thể xâm phạm thành phần khác với thành phần dễ bị tấn công ban đầu hay không. Điều này làm cho không chỉ Điểm cơ sở được tăng lên mà tác động của Tính bảo mật, Tính toàn vẹn và Tính khả dụng được đánh giá theo thành phần bị ảnh hưởng (ví dụ: trình duyệt web bị ảnh hưởng bởi một lỗ hổng trong máy chủ web).

Dưới đây là bảng kết quả đánh giá lỗ hổng được phản ánh trên Cross-site Scripting trong phpMyAdmin (CVE-2013-1937) của hai phiên bản CVSSv2 và CVSSv3. Với lỗ hổng này, Điểm cơ bản CVSSv2 là 4,3 nhưng trên CVSSv3 Điểm cơ bản là 6,1.

Bảng 1: So sánh CVSSv2 và CVSSv3 lỗ hổng CVE-2013-1937 (* hay đổi tên so với CVSS v2)

Yếu tố thay đổi trong ví dụ trên là chỉ số phạm vi. Nếu phạm vi không thay đổi, giá trị bảo mật sẽ được đánh giá dựa trên máy chủ web thay vì trình duyệt web, giá trị này có thể chuyển thành None thay vì Low. Khi thay đổi giá trị phạm vi thành Unchanged và giá trị bảo mật thành None, Điểm cơ sở CVSS giảm xuống 4,3 bằng với số điểm mà nó đã được chỉ định trong CVSSv2.

Với những thông số của lỗ hổng bảo mật đã được liệt kê ở trên, có thể nhanh chóng tính được điểm cơ sở của lỗ hổng bảo mật CVE-2013-1937 bằng các công cụ sẵn có hoặc bằng các công thức tương ứng của từng phiên bản.

Hình dưới đây thể hiện điểm cơ sở của lỗ hổng CVE-2013-1937 theo 2 phiên bản 2.0 và 3.0, được mô tại trang web của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST).

Điểm cơ sở của lỗ hổng CVE-2013-1937 (CVSSv2 (trái) và CVSSv3 (phải))

Kết luận

Với những thay đổi trong cách tính điểm, CVSSv3 đã khắc phục các nhược điểm của các phiên bản trước. Một loạt lỗ hổng bảo mật đã được chấm điểm là Cao trong phiên bản CVSSv3 thay vì điểm Trung bình trong CVSSv2. Những thay đổi trong cách tính điểm mới sẽ như một lời cảnh báo rằng các lỗ hổng bảo mật có thể đem lại rủi ro lớn hơn so với những gì đã xem xét trước đây.