CVSS 4.0 - Die 5 wichtigsten Änderungen
CVSS 4.0: Die 5 wichtigsten Änderungen
Das Common Vulnerability Scoring System (CVSS) ist ein etablierter Standard zur Bewertung von Schwachstellen. Mit der Einführung von CVSS 4.0 im Oktober 2023 stehen aktuell viele Firmen vor der Herausforderung zu entscheiden, ob und wann der Umstieg auf den neuen CVSS-Standard erfolgen soll.
In diesem Blog-Eintrag möchten wir über die 5 relevantesten Änderungen aufmerksam machen, die bei der Entscheidungsfindung berücksichtigt werden sollten. Eine umfassende und offizielle Darstellung der Änderungen gibt es unter first.org1 .
#1 Neue Darstellung & Benennung der Scores
In CVSS 4.0 gibt es 2 wesentliche Änderungen, was die Benennung und Darstellung der CVSS-Scores angehen. Zum einen werden nun 4 statt 3 verschiedene CVSS-Scores verwendet und zum anderen wurden die sogenannten Makro-Vektoren als zusätzliche Ergänzung eingeführt:
4 Scores statt 3
In CVSS 4.0 wurde eine neue Nomenklatur eingeführt, um eine deutlichere Unterscheidung zwischen dem Base Score und den erweiterten Bewertungen zu ermöglichen. Vor allem soll dadurch hervorgehoben werden, dass jeder Base Score zunächst eine kontext-unabhängige, allgemeingültige Bewertung darstellt, die anschliessend in der spezifischen IT-Umgebung und im aktuellen zeitlichen Kontext betrachtet werden muss, um eine finale Bewertung vorzunehmen.
Base Score (CVSS-B): | bleibt weiterhin der Basis-Score für den allgemeinen Schweregrad der Schwachstellen |
Base + Threat (CVSS-BT): | ersetzt den Temporal Score und betrachtet ergänzend die zeitlich variierende Bedrohungslage |
Base + Environmental (CVSS-BE): | ersetzt den Environmental Score und betrachtet ergänzend spezifische Gegebenheiten in der eigenen IT-Umgebung (z.B. Sicherheitsanforderungen an das Produkt) |
Base + Threat + Environmentral (CVSS-BTE): | betrachtet alle Faktoren, sowohl Bedrohungslage als auch die individuelle IT-Umgebung |
Statt 3 gibt es nun also 4 unterschiedliche CVSS-Scores, die eine transparentere Bewertung ermöglichen, da nun einfacher ersichtlicher ist, welcher Score exakt berechnet wurde. Vorteil!
Neue Makro-Vektoren
Zusätzlich gibt es nun sogenannte Makro-Vektoren. Diese bieten eine zusammenfassende Übersicht der einzelnen Bewertungs-Kriterien Exploitability, Complexity, Vulnerable system, Subsequent system, Exploitation sowie Security requirements dar und werden jeweils zwischen Low bis High bewertet.
Somit hat man also 6 übergeordnete Kategorien statt 26 einzelne Faktoren und kann den Hergang einer Schwachstellen-Bewertung schneller nachvollziehen. Vorteil!
Bei einer genaueren Betrachtung ergeben sich allerdings noch einige Fragezeichen, z. B.
- Exploitability kann niemals Low werden. Dies könnte für den Anwender in manchen Fällen schwer nachvollziehbar sein und zu Diskussionen führen.
- Exploitation und Security Requirements sind immer Medium oder High, auch wenn die Threat Metrics und Security Requirements gar nicht bewertet wurden (Not Defined). Dies widerspricht aus unserer Sicht der Nachvollziehbarkeit und Transparenz der Bewertung, da es den Eindruck erweckt, dass diese Metriken bereits bewertet wurden, obwohl dies nicht der Fall ist. Im CVSS-B-Score sollten diese Kriterien aus unserer Sicht mit „Not Defined“ dargestellt werden.
- Security Requirements sind „Medium“, auch wenn im CVSS-B(T)E Score „High“ für die Security Requirements spezifiziert wird. Die Berechnung für die Security Requirements scheint vielmehr von den Impact Metrics abhängig zu sein, was aus unserer Sicht wie eine fehlerhafte Berechnung wirkt.
Letztendlich bieten auch die Makro-Vektoren eine optimierte Darstellung, die in der Praxis einen Mehrwert für den Anwender darstellen. Allerdings wirft die Berechnung noch einige Fragen auf, weshalb wir von der Verwendung aktuell noch abraten.
#2 Erweiterung für OT, IoT & Automotive
CVSS 4.0 erweitert die Bewertung von Schwachstellen um den Safety-Aspekt und berücksichtigt somit die Sicherheit und Gesundheit von Personen, die durch die Ausnutzung der Schwachstelle betroffen wären. Dadurch wird CVSS dem zunehmenden Wachstum von OT- und IoT-Geräten gerecht und ist darüber hinaus aber auch für die Anwendung im Personentransport (z.B. Automotive) besser geeignet. Vorteil!
Wenn bei einer Schwachstelle nun die Sicherheit von Personen (Safety) beeinträchtigt ist, erhöht dies den CVSS-Score und den Schweregrad einer Schwachstelle deutlich. Dabei ist allerdings zu beachten, dass „Safety“ nicht im Base-Score (CVSS-B), sondern ausschliesslich im CVSS-B(T)E-Score spezifiziert werden kann. Dies bedeutet, dass
- der Safety-Aspekt durch den Kunden ergänzt werden muss und nicht durch den Security Researcher spezifiziert wird.
- der Kunde die Faktoren „Integrity“ und „Availability“ beim Subsequent System neu bewerten muss, um den Aspekt „Safety“ zu berücksichtigen.
Weitere Hinweise zur Bewertung der Safety finden sich im Kapitel 4.2.1.(3)
#3 Verfügbarkeit öffentlicher Exploits hat deutlich mehr Einfluss
Der frühere Temporal Score ist in CVSS 4.0 nun der Threat Score (CVSS-BT). Dabei wurden die sogenannten Threat Metrics von 3 unterschiedlichen Bewertungsfaktoren (Exploit Code Maturity, Remediation Level, Report Confidence) auf eine einzige reduziert: Exploit Maturity. Zudem hat die Threat Metrics nun einen deutlichen höheren Einfluss auf den Gesamt-CVSS-Score (CVSS-BT).
Dies führt dazu, dass Schwachstellen, für die es noch keinen öffentlichen Proof-of-Concept-Code gibt, deutlich geringer bewertet werden.
Was heisst das nun im Detail?
Threat Metrics hat deutlich höheren Einfluss auf den Gesamt-Score
Folgendes Beispiel soll verdeutlichen, wie hoch der Einfluss der Threat Metrics bei CVSS 4.0 ist. Angenommen man betrachtet eine Schwachstelle mit niedrigen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit, ergibt dies ein CVSS-Base-Score von 6.9.(4)
Bewertet man nun die Exploit Maturity äquivalent mit Unproven (CVSS3.1) oder Unreported (CVSS4.0) ergeben sich folgende Unterschiede im Gesamt-Score:CVSS 3.1: 6.7 (5)
CVSS 4.0: 2.7 (6)
Dies zeigt den deutlichen Einfluss der Threat Metrics in CVSS 4.0 im Vergleich zu CVSS 3.1. Dadurch wollte FIRST der Kritik an CVSS3.1 gerecht werden, dass viele Schwachstellen zu hoch bewertet würden und die Temporal Metrics kaum Einfluss hätten (Quelle).
Nicht veröffentlichte Schwachstellen werden grundsätzlich sehr niedrig eingestuft
Die Threat Metrics in CVSS 4.0 berücksichtigt nur noch veröffentlichte Proof of Concepts. Das bedeutet, dass auch die Schwachstelle dazu bereits öffentlich bekannt sein muss. Demzufolge würden Befunde aus Pentests grundsätzlich deutlich heruntergestuft werden, da die dort gemeldeten Schwachstellen meistens nicht öffentlich bekannt sind. Ein Standard Reflected XSS könnte so nur noch einen CVSS-Score von 1.2 haben (7), unabhängig davon, wie einfach es ist, die Schwachstelle zu finden. Denn wie einfach Schwachstellen gefunden werden können, bewertet CVSS wiederum nicht (siehe auch Blog: CVSS - 5 Irrtümer).
Die Threat Metrics berücksichtigt zwar auch „Solutions to simplify attempts to exploit the vulnerability are publicly or privately available (such as exploit toolkits)”. Allerdings ist unklar, ob hier der allgemeine Schwachstellentyp gemeint ist oder ob allgemeine Tools wie ein HTTP-Proxy bereits ausreichen, um diese Anforderung zu erfüllen.Aus unserer Sicht besteht hier die Gefahr, dass kritische Schwachstellen deutlich zu niedrig eingestuft werden, wenn der CVSS-BT-Score gemäss dem Standard eingesetzt wird. Denn nur weil eine Schwachstelle nicht öffentlich bekannt ist, heisst es nicht, dass sie nicht einfach und schnell gefunden sowie ausgenutzt werden kann.
CVSS-BT muss regelmässig aktualisiert werden
Bei der Anwendung des CVSS-BT-Scores muss beachtet werden, dass dies nur eine Momentaufnahme auf Basis aktueller Threat-Intelligence-Informationen ist. Wenn durch den CVSS-BT-Score eine Depriorisierung von Schwachstellen erfolgt, da der Score dadurch deutlich nach unten korrigiert wird, ist es unerlässlich, diese Bewertung anhand aktualisierter Threat-Intelligence-Daten regelmässig neu zu berechnen. Ansonsten besteht die latente Gefahr, dass kritische Schwachstellen zu gering eingestuft werden.Kein Remediation Level und Report Confidence in CVSS 4.0
Durch die Reduzierung der Threat Metrics auf Exploit Maturity gibt es keine Möglichkeit mehr anzugeben, ob die Existenz der Schwachstelle bestätigt oder unbekannt ist (Report Confidence). Zudem gibt es keine Möglichkeit mehr anzugeben, ob es einen Patch für die Schwachstelle gibt oder eine Behebung aktuell schwierig bis gar nicht möglich ist (Remediation Level).
Aus unserer Sicht stellt dies keinen direkten Nachteil dar. Lediglich Report Confidence wurde im Rahmen von Pentests oft benutzt, um anzugeben, ob man eine CVE (öffentliche bekannte Schwachstelle) verifiziert hat oder sich auf die theoretischen Angaben verlässt. Diese Information gehen nun verloren. Allerdings hatte diese Information bei CVSS3.1 auch nur geringe Auswirkungen auf den Gesamt-Score.
Aus unserer Sicht ist der CVSS-BT-Score damit sehr gut geeignet, um öffentlich bekannte CVEs zu bewerten und anhand verfügbarer Exploits den aktuellen Bedrohungsgrad zu berücksichtigen. Vorteil! Auch wenn dies zwingend regelmässig erfolgen muss.
Die Anwendung für unveröffentlichte Schwachstellen ist jedoch fraglich und muss in der Praxis evaluiert werden. Die offizielle Dokumentation von FIRST zu diesem Anwendungsbereich ist aus unserer Sicht mangelhaft und sollte nachgebessert werden. Nachteil!
#4 Neue Supplemental Metrics
Eine weitere Änderung in CVSS 4.0 sind die Supplemental Metrics. Dies sind ergänzende, optionale Metriken, die den CVSS-Score nicht beeinflussen. Stattdessen stellen die Supplemental Metrics weitere Informationen dar, die für weitergehende Risikoanalysen und fundierte Entscheidungsfindungen verwendet werden können.
Es gibt folgende 6 Supplemental Metrics:
- Safety (S): Auswirkungen auf Sicherheit und Gesundheit von Personen
- Automatable (A): Automatisierbarkeit der Schwachstelle
- Value Density (V): Umfang der Ressourcen, die von der Schwachstelle betroffen sind
- Recovery: Wiederherstellungsfähigkeit nach Ausnutzung der Schwachstelle
- Provider Urgency (U): Dringlichkeit, mit der der Provider die Schwachstelle behandeln sollte
- Vulnerability Response Effort (RE): Aufwand für die Behebung der Schwachstelle
Es bleibt abzuwarten, welchen Mehrwert diese Metriken in der Praxis wirklich haben. Nachdem sie den CVSS-Score allerdings nicht beeinflussen, werden diese für viele Firmen vermutlich nicht im Fokus stehen. Dennoch: Vorteil!
#5 Geringfügige Änderungen bei den Faktoren
Mit CVSS 4.0 kommen auch ein paar kleinere Änderungen, die hier kurz in der Übersicht dargestellt werden.
- Attack Requirements hinzugefügt
„Attack Complexity“ wurde in CVSS 4.0 in 2 unterschiedliche Faktoren aufgeteilt, um die Komplexität eines Angriffs noch besser bewerten zu können. Neben „Attack Complexity“ gibt es nun im Base-Score noch den Faktor „Attack Requirements“:- Attack Requirements: beschreibt, ob es weitere Bedingungen gibt, die für einen Angriff erfüllt sein müssen
- Attack Complexity: beschreibt, ob Sicherheitsmassnahmen umgangen werden müssen
- User Interaction erweitert
„User Interaction“ wurde von None/Required in None/Passive/Active erweitert. Dadurch kann CVSS 4.0 nun zwischen passiver (normale Nutzung) und aktiver Nutzerinteraktion (verdächtige Aktionen erforderlich) bei einem Angriff unterscheiden. - Scope erweitert
„Scope“ wurde von „Unchanged/Changed“ in die drei Sicherheitsziele „Confidentialy, Integrity, Availability“ erweitert. Dadurch lassen sich Auswirkungen (Impact) auf weitere Systeme nun genauso feingranular bewerten wie die Auswirkungen auf das betroffene System selbst.
Fazit
Abschliessend lässt sich sagen, dass CVSS 4.0 einige Optimierungen mit sich bringt, die bei einer Umstellung einen klaren Mehrwert bieten. Die transparentere Darstellung, Erweiterung auf OT/IoT, die Berücksichtigung des Bedrohungsgrads als auch die feingranulare Bewertung sprechen dafür.
Die Anwendung des CVSS-BT-Scores für nicht veröffentliche und nicht bekannte Schwachstellen (z.B. Pentest-Befunde) sollte allerdings noch mit Vorsicht genossen werden, da hier die Gefahr besteht, kritische Schwachstellen deutlich zu niedrig zu bewerten. Die Anwendung in der Praxis sollte daher zunächst evaluiert und anschliessend eine klare firmeninterne Entscheidung getroffen werden. Wir hoffen, dass FIRST hier bzgl. einer klareren Dokumentation noch nachbessert. Dies betrifft auch die Anwendung der Makro-Vektoren, die zum aktuellen Zeitpunkt noch etwas unausgereift wirken.
Zudem bleiben auch in CVSS 4.0 grundlegende Eigenschaften bestehen, die man wissen sollte:
Die 5 grössten Irrtümer bei CVSS
Zuletzt sollte bei der Einführung von CVSS 4.0 auch die breite Verwendung bei der Bewertung von CVEs berücksichtigt werden. Wenn benötigte Datenquellen CVSS 4.0 noch nicht nutzen, kann eine firmeninterne Umstellung auf CVSS 4.0 herausfordernd sein. Zum Zeitpunkt dieses Blog-Eintrags werden CVE-Einträge durch NIST lediglich mit CVSS2 und CVSS3 bewertet. CVSS4 findet noch keine Anwendung (siehe https://nvd.nist.gov/vuln/detail/CVE-2024-3094 ). Das gleiche trifft auf Schwachstellenscanner wie Tenable Nessus zu (siehe hier ).
Gerne beraten wir – die fernao security force - Sie auch in einem persönlichen Gespräch zur Anwendung von CVSS 4.0 und wie wir bei unseren Pentests mit den Vor- und Nachteilen von CVSS umgehen.
Beratung anfragen!
Quellen
- https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf
- https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N
- https://www.first.org/cvss/v4.0/specification-document.
- https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
- https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:U
- https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:U
- https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U
- www.first.org/cvss/calculator/4.0