攻撃のCVSSを計算して、CVEのCVSSと一致させるにはどうすればよいですか?
データベースに仮想マシンの詳細が保存されているファイル共有アプリケーション(Dropboxなど)の攻撃グラフを作成しました。残りのメモリスペースなど。考えられる攻撃をいくつか挙げました。
- 攻撃者は、割り当てられたメモリサイズをある程度減らすことができます(たとえば、2Gbのメモリが割り当てられている場合、攻撃者はデータベースレコードを操作して1Gbに減らすことができます)
- 攻撃者は、割り当てられたメモリサイズをゼロに減らすことができます(たとえば、前の場合と同様ですが、メモリスペースが残っていないため、ファイルをアップロードできません)
- 攻撃者は繰り返し攻撃を行い、メモリサイズを減らすことができます(たとえば、ポイント1のようにメモリサイズが1Gbに減少しました。同じことが繰り返され、メモリサイズが0.5Gbに減少します)
- 攻撃者は、ダウンローダーとファイルの場所の間のリンクをハッキングして、ファイルを取得する可能性があります
CVSSを計算する必要があります。リストした攻撃をCVEの攻撃と一致させるにはどうすればよいですか?
ここにあるNISTのCVSS計算機を使用します http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2
隣接していないネットワークを介して脆弱性が悪用される可能性があり、アクセスの複雑さが低く、攻撃者が複数回認証する必要がある場合
AN:N, AC:L, Au:M
機密性と整合性への影響はありませんが、可用性への完全な影響は
C:N, I:N, A:C
次のスコアを与えます
Base-Score: 6.1
Base-Impact: 6.9
Exploitability: 6.4
との全体的なスコア
6.1
majorの脆弱性になります。 NISTページで、時間スコアと環境スコアをさらに計算できます。
なぜ攻撃のCVSSスコアをCVEと一致させる必要があるのですか?特定のCVEのCVSSスコアは、一般的に特定のアプリケーションの範囲を維持せずに計算されます。ただし、アプリケーションのCVSSスコアを計算する場合は、そのアプリケーションに関連するすべてのポイントを考慮する必要があります。
たとえば、CVEのNVDデータベースでは、CIAは低としてマークされています。ただし、アプリケーションは機密性の高いデータを処理します。したがって、アプリケーションの同じ脆弱性では、処理するデータのタイプが原因で、C&IベクトルがHIGHになります。