CVSS, c’est quoi donc Jean-Pierre ?
La gestion des vulnérabilités, ce n’est pas si compliqué qu’il y parait… dès lors qu’on a intégré le vocabulaire de base intégrant la flopée d’acronymes anglo-saxons.
Découvrons donc aujourd’hui l’un d’entre eux à partir d’un exemple de la vraie vie (vieille vulnérabilité Joomla sur un site bien connu découverte par un scan standard avec Nexpose de Rapid7).
CVSS dans Nexpose (Rapid7)
Cette évaluation est constituée de 3 mesures appelées métriques:
- la métrique de base, unique et immuable, elle se base sur les qualités intrinsèques de la vulnérabilité; Elle est elle même composée de la métrique d’exploitation et de la métrique d’impact, chacune basée sur 3 composantes
- la métrique temporelle, unique mais peut évoluer au cours du temps;
- et la métrique environnementale, elle est multiple et évolue en fonction de l’environnement informatique. Elle dépend du système informatique dans lequel elle est présente.
Pour le cas présent, nous avons une note CVSS de 4,4 (AV:L/AC:M/Au:N/C:P/I:P/A:P).
Détaillons donc, cette notation. Ecrit plus lisiblement, cela donne :
- AV:L
Première métrique d’exploitation de la métrique de base, le vecteur d’accès (Access Vector/AV) définit comment une vulnérabilité peut être exploitée.
3 valeurs possibles: Local (Local in english)=0,395, A si réseau adjacent (Adjacent Network)=0,646 et N pour réseau (Network)=1
Soit, dans notre cas AV=L=0,395 - AC:M
Seconde métrique d’exploitation de la métrique de base, la complexité d’accès (Access Complexity (AC)) définit le niveau de difficulté d’exploiter la vulnérabilité découverte.
3 valeurs possibles: Haut (High) H=0,35, Moyen (Medium) M=0,61, Bas (Low) L=0,71
Soit, dans notre cas AC=M=0,61 - Au:N
Troisième métrique d’exploitation de la métrique de base, la métrique d’authentification (Authentication (Au)) définit le nombre de fois qu’un attaquant doit s’authentifier sur la cible dans le but d’exploiter la vulnérabilité. Ceci fait référence spécifiquement au nombre de fois qu’une authentification est nécessaire une fois que l’accès au système a été obtenu. Ça n’inclut pas, par exemple, l’authentification au réseau utilisé pour accéder au système vulnérable. Pour des vulnérabilités exploitables localement, cette valeur ne devrait seulement être fixée à Unique ou Multiple si une authentification est nécessaire après avoir accédé au système.
3 valeurs possibles: Multiple (Multiple) M=0,45, Simple (Single) S=0,56, Inexistant (None) N=0,704
Soit, dans notre cas Au=N=0.704 - C:P
Première métrique d’impact de la métrique de base, la métrique de confidentialité (Confidentiality (C)) définit l’impact sur la confidentialité des données sur ou traités par le système.
3 valeurs possibles: Aucun (None) N=0, Partiel (Partial) P=0,275 , Complet (Complete) C=0,660
Soit, dans notre cas C=P=0,275 - I:P
Seconde métrique d’impact de la métrique de base, la métrique d’intégrité (Integrity (I)) définit l’impact sur l’intégrité des données du système.
3 valeurs possibles: Aucun (None) N=0, Partiel (Partial) P=0,275 , Complet (Complete) C=0,660
Soit, dans notre cas I=P=0,275 - A:P
Troisième métrique d’impact de la métrique de base, la métrique de disponibilité (Availability (A)) définit l’impact de la disponibilité du système ciblé. Les attaques consommant de la bande passante, des cycles processeurs, de la mémoire, ou tout autre ressource affectent la disponibilité d’un système.
3 valeurs possibles: Aucun (None) N=0, Partiel (Partial) P=0,275 , Complet (Complete) C=0,660
Soit, dans notre cas A=0,275
to be continued …
Z’avez compris où je le refais en serbo-croate ??? so far from Bijela 🙁
