vulnerabilidades
Este ano o Common Vulnerability Scoring System (CVSS) completa 20 anos, consolidado como um padrão amplamente utilizado para descrever vulnerabilidades de software. Mesmo após décadas de uso e quatro versões do padrão, atualmente na versão 4.0, as regras de pontuação do CVSS ainda são frequentemente mal aplicadas, e o sistema segue sendo alvo de debates intensos. Então, o que você precisa saber sobre o CVSS para proteger seus ativos de TI com eficácia?
A pontuação de base do CVSS
De acordo com seus desenvolvedores, o CVSS é uma ferramenta para descrever as características e a gravidade das vulnerabilidades de software. O CVSS é mantido pelo Forum of Incident Response and Security Teams (FIRST). Ele foi criado para ajudar os especialistas a falarem a mesma língua ao lidar com vulnerabilidades e para facilitar o processamento automático de dados sobre falhas de software. Quase todas as vulnerabilidades publicadas nos principais registros de vulnerabilidades, como CVE, EUVD ou CNNVD, incluem uma avaliação de gravidade com base na escala do CVSS.
Uma avaliação normalmente consiste em duas partes principais:
- Uma classificação numérica (pontuação CVSS), que mostra a gravidade da vulnerabilidade em uma escala de 0 a 10. Uma pontuação de 10 significa que é uma vulnerabilidade crítica extremamente perigosa.
- Um vetor, que é uma sequência de texto padronizada descrevendo as principais características da vulnerabilidade. Isso inclui informações sobre exploração remota ou local de vulnerabilidades, se são necessários privilégios elevados, o grau de complexidade da exploração e quais aspectos do sistema vulnerável, como disponibilidade, integridade ou confidencialidade, são impactados.
Aqui está um exemplo usando a vulnerabilidade altamente grave e explorada ativamente CVE-2021-44228 (Log4Shell): Base Score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Vamos detalhar: o vetor de ataque é baseado na rede; a complexidade do ataque é baixa; privilégios necessários: nenhum; a interação do usuário não é necessária; o escopo indica que a vulnerabilidade afeta outros componentes do sistema e o impacto na confidencialidade, na integridade e na disponibilidade é alto. Descrições detalhadas de cada componente estão disponíveis nas especificações CVSS 3.1 e CVSS 4.0.
Uma parte crucial do sistema CVSS é sua metodologia de pontuação, também conhecida como calculadora e disponível para 4.0 e 3.1. Ao preencher todos os componentes do vetor, você pode obter automaticamente uma pontuação numérica de criticidade.
A metodologia de cálculo CVSS original incluía três grupos de métricas: base, temporal e ambiental. O primeiro grupo abrange as características fundamentais e imutáveis de uma vulnerabilidade e forma a base para o cálculo da Pontuação de base do CVSS. O segundo grupo abrange características que variam com o tempo, como a disponibilidade de um código de exploit já publicado. O terceiro grupo é projetado para uso organizacional interno no sentido de considerar fatores específicos do contexto, como o escopo do aplicativo vulnerável ou a presença de controles de segurança atenuantes na infraestrutura da organização. No CVSS 4.0, as métricas temporais evoluíram para métricas de Ameaça e um novo grupo de métricas Suplementares foi introduzido.
Veja como as métricas estão interconectadas. Os fornecedores de software ou as empresas de segurança cibernética normalmente avaliam a criticidade Básica de uma vulnerabilidade (referida como “CVSS-B” na especificação 4.0). Eles também costumam trazer uma avaliação sobre a disponibilidade e a divulgação pública de um exploit (CVSS-BT no 4.0 e temporal no 3.1). Essa avaliação é uma Pontuação de base modificada; portanto, CVSS-B pode ser maior ou menor que CVSS-BT. Quanto à pontuação Ambiental (CVSS-BTE), ela é calculada dentro de uma organização específica com base no CVSS-BT, com ajustes feitos para suas condições exclusivas de uso do software vulnerável.
A evolução do CVSS
As duas primeiras versões do CVSS, lançadas em 2005 e 2007, quase não são usadas hoje. Embora você ainda possa encontrar pontuações CVSS mais antigas para vulnerabilidades modernas, o CVSS 3.1 (2019) e o CVSS 4.0 (2023) são os sistemas de pontuação mais comuns. No entanto, muitos fornecedores de software e registros de vulnerabilidades não estão com pressa para adotar a versão 4.0 e continuam a fornecer pontuações do CVSS 3.1.
A ideia por trás da primeira versão do CVSS era quantificar o impacto das vulnerabilidades com um sistema de pontuação, com uma separação inicial entre métricas base, temporal e ambiental. Nesse estágio, as descrições textuais foram formalizadas de maneira imprecisa e os três grupos de métricas foram calculados independentemente.
O CVSS 2.0 introduziu uma sequência de vetores padronizada e uma nova lógica: uma Pontuação de base obrigatória e imutável, uma Pontuação temporal calculada a partir da Pontuação de base, mas contabilizando fatores de mudança, e uma pontuação Ambiental usada dentro de organizações e condições específicas derivadas da Pontuação de base ou temporal.
As versões 3.0 e 3.1 adicionaram o conceito de Escopo (impacto em outros componentes do sistema). Elas também definiram com mais precisão os parâmetros relacionados aos privilégios necessários e à interação do usuário, bem como generalizaram e refinaram os valores de muitos parâmetros. Mais importante, essas versões reforçaram que o CVSS mede o impacto de uma vulnerabilidade, e não os riscos decorrentes dela.
Na versão 4.0, os criadores procuraram tornar a métrica CVSS mais relevante para análises de risco no contexto dos negócios, considerando o impacto das vulnerabilidades. No entanto, essa ainda não é uma métrica de risco. A complexidade do ataque foi dividida em dois componentes distintos: requisitos de ataque e complexidade de ataque. Isso destaca a diferença entre a dificuldade de engenharia inerente de um ataque e os fatores externos ou as condições necessárias para o sucesso dele. Na prática, isso significa que uma falha que depende de uma configuração específica e não padrão do produto para ser explorada terá requisitos de ataque mais altos e, por isso, uma pontuação CVSS geral mais baixa.
A métrica Escopo, muitas vezes incompreendida, que simplesmente oferecia as opções “sim” ou “não” para “impacto em outros componentes”, foi substituída. Os desenvolvedores introduziram o conceito mais claro de “sistemas subsequentes”, que agora especifica qual aspecto de sua operação a vulnerabilidade afeta. Além disso, foram adicionados diversos indicadores de apoio, como a possibilidade de automatizar um exploit e o impacto da exploração na segurança física de pessoas. As próprias fórmulas também passaram por revisões substanciais. A influência de diversos componentes na pontuação numérica da ameaça foi reavaliada com base em um extenso banco de dados de vulnerabilidades e em dados reais de exploração.
Como o CVSS 4.0 está mudando a priorização de vulnerabilidades
Para os profissionais de segurança cibernética, o CVSS 4.0 pretende ser mais prático e relevante para as realidades de hoje. Estamos enfrentando dezenas de milhares de vulnerabilidades, muitas das quais recebem uma pontuação CVSS alta. Isso geralmente faz com que elas sejam automaticamente sinalizadas para correção imediata em muitas organizações. O problema é que essas listas estão em constante crescimento e o tempo médio para se corrigir uma vulnerabilidade está próximo de sete meses.
Quando as vulnerabilidades são reavaliadas do CVSS 3.1 para o CVSS 4.0, a Pontuação de base para defeitos com impacto entre 4,0 e 9,0 tende a aumentar ligeiramente. No entanto, para vulnerabilidades consideradas criticamente graves no CVSS 3.1, a pontuação geralmente permanece inalterada ou até diminui. Ainda mais importante, embora as métricas temporais antes tivessem pouca influência na pontuação numérica de uma vulnerabilidade, agora as métricas de Ameaça e Ambientais exercem um impacto muito mais significativo. A Orange Cyberdefense realizou um estudo para ilustrar esse ponto. Imagine que uma empresa está rastreando 8.000 vulnerabilidades e suas equipes de TI e segurança precisam corrigir todos os defeitos com uma pontuação CVSS de base acima de 8 dentro de um período especificado. Qual porcentagem dessas 8.000 vulnerabilidades do mundo real se enquadra nessa categoria, com ou sem considerar a exposição da exploração ao público (ajuste temporal/de ameaça)? O estudo revelou que o CVSS 4.0, na sua versão base, atribui uma pontuação igual ou superior a 8 para uma parcela maior de vulnerabilidades (33% contra 18% na versão 3.1). Porém, ao considerar a disponibilidade de exploits, o número diminui significativamente, reduzindo a quantidade de falhas realmente críticas para priorizar (8% contra 10%).
Crítico, Alto e tudo mais
Qual é a diferença entre uma vulnerabilidade “crítica” e uma que é simplesmente perigosa? Uma descrição de impacto baseada em texto faz parte da especificação, mas nem sempre é necessária em uma descrição de vulnerabilidade:
- Baixo impacto: 0,1 a 3,9
- Médio impacto: 4,0 a 6,9
- Alta impacto: 7,0 a 8,9
- Impacto crítico: 9,0 a 10,0
Na prática, muitos fornecedores de software adotam uma abordagem criativa para essas descrições de texto. Eles podem modificar os nomes ou incorporar suas próprias avaliações e fatores não incluídos no CVSS. Um caso em questão é o Microsoft Patch Tuesday de junho, especificamente CVE-2025-33064 e CVE-2025-32710. O primeiro é descrito como “Importante” e o segundo como “Crítico”, mas suas pontuações no CVSS 3.1 são 8,8 e 8,1, respectivamente.
Dicas