Este ano o Common Vulnerability Scoring System (CVSS) completa 20 anos, consolidado como um padr\u00e3o amplamente utilizado para descrever vulnerabilidades de software. Mesmo ap\u00f3s d\u00e9cadas de uso e quatro vers\u00f5es do padr\u00e3o, atualmente na vers\u00e3o 4.0, as regras de pontua\u00e7\u00e3o do CVSS ainda s\u00e3o frequentemente mal aplicadas, e o sistema segue sendo alvo de debates intensos. Ent\u00e3o, o que voc\u00ea precisa saber sobre o CVSS para proteger seus ativos de TI com efic\u00e1cia?<\/p>\n
De acordo com seus desenvolvedores<\/a>, o CVSS \u00e9 uma ferramenta para descrever as caracter\u00edsticas e a gravidade das vulnerabilidades de software. O CVSS \u00e9 mantido pelo Forum of Incident Response and Security Teams (FIRST). Ele foi criado para ajudar os especialistas a falarem a mesma l\u00edngua ao lidar com vulnerabilidades e para facilitar o processamento autom\u00e1tico de dados sobre falhas de software. Quase todas as vulnerabilidades publicadas nos principais registros de vulnerabilidades, como CVE<\/a>, EUVD<\/a> ou CNNVD<\/a>, incluem uma avalia\u00e7\u00e3o de gravidade com base na escala do CVSS.<\/p>\n Uma avalia\u00e7\u00e3o normalmente consiste em duas partes principais:<\/p>\n Aqui est\u00e1 um exemplo usando a vulnerabilidade altamente grave e explorada ativamente CVE-2021-44228 (Log4Shell): Base Score 10.0 (CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:C\/C:H\/I:H\/A:H)<\/strong><\/p>\n Vamos detalhar: o vetor de ataque \u00e9 baseado na rede; a complexidade do ataque \u00e9 baixa; privil\u00e9gios necess\u00e1rios: nenhum; a intera\u00e7\u00e3o do usu\u00e1rio n\u00e3o \u00e9 necess\u00e1ria; o escopo indica que a vulnerabilidade afeta outros componentes do sistema e o impacto na confidencialidade, na integridade e na disponibilidade \u00e9 alto. Descri\u00e7\u00f5es detalhadas de cada componente est\u00e3o dispon\u00edveis nas especifica\u00e7\u00f5es CVSS 3.1<\/a> e CVSS 4.0<\/a>.<\/p>\n Uma parte crucial do sistema CVSS \u00e9 sua metodologia de pontua\u00e7\u00e3o, tamb\u00e9m conhecida como calculadora e dispon\u00edvel para 4.0<\/a> e 3.1<\/a>. Ao preencher todos os componentes do vetor, voc\u00ea pode obter automaticamente uma pontua\u00e7\u00e3o num\u00e9rica de criticidade.<\/p>\n A metodologia de c\u00e1lculo CVSS original inclu\u00eda tr\u00eas grupos de m\u00e9tricas: base<\/strong>, temporal<\/strong> e ambiental<\/strong>. O primeiro grupo abrange as caracter\u00edsticas fundamentais e imut\u00e1veis de uma vulnerabilidade e forma a base para o c\u00e1lculo da Pontua\u00e7\u00e3o de base do CVSS. O segundo grupo abrange caracter\u00edsticas que variam com o tempo, como a disponibilidade de um c\u00f3digo de exploit j\u00e1 publicado. O terceiro grupo \u00e9 projetado para uso organizacional interno no sentido de considerar fatores espec\u00edficos do contexto, como o escopo do aplicativo vulner\u00e1vel ou a presen\u00e7a de controles de seguran\u00e7a atenuantes na infraestrutura da organiza\u00e7\u00e3o. No CVSS 4.0, as m\u00e9tricas temporais evolu\u00edram para m\u00e9tricas de Amea\u00e7a<\/strong> e um novo grupo de m\u00e9tricas Suplementares<\/strong> foi introduzido.<\/p>\n Veja como as m\u00e9tricas est\u00e3o interconectadas. Os fornecedores de software ou as empresas de seguran\u00e7a cibern\u00e9tica normalmente avaliam a criticidade B\u00e1sica de uma vulnerabilidade (referida como \u201cCVSS-B\u201d na especifica\u00e7\u00e3o 4.0). Eles tamb\u00e9m costumam trazer uma avalia\u00e7\u00e3o sobre a disponibilidade e a divulga\u00e7\u00e3o p\u00fablica de um exploit (CVSS-BT no 4.0 e temporal no 3.1). Essa avalia\u00e7\u00e3o \u00e9 uma Pontua\u00e7\u00e3o de base modificada; portanto, CVSS-B pode ser maior ou menor que CVSS-BT. Quanto \u00e0 pontua\u00e7\u00e3o Ambiental (CVSS-BTE), ela \u00e9 calculada dentro de uma organiza\u00e7\u00e3o espec\u00edfica com base no CVSS-BT, com ajustes feitos para suas condi\u00e7\u00f5es exclusivas de uso do software vulner\u00e1vel.<\/p>\n As duas primeiras vers\u00f5es do CVSS, lan\u00e7adas em 2005 e 2007, quase n\u00e3o s\u00e3o usadas hoje. Embora voc\u00ea ainda possa encontrar pontua\u00e7\u00f5es CVSS mais antigas para vulnerabilidades modernas, o CVSS 3.1 (2019) e o CVSS 4.0 (2023) s\u00e3o os sistemas de pontua\u00e7\u00e3o mais comuns. No entanto, muitos fornecedores de software e registros de vulnerabilidades n\u00e3o est\u00e3o com pressa para adotar a vers\u00e3o 4.0 e continuam a fornecer pontua\u00e7\u00f5es do CVSS 3.1.<\/p>\n A ideia por tr\u00e1s da primeira vers\u00e3o do CVSS era quantificar o impacto das vulnerabilidades com um sistema de pontua\u00e7\u00e3o, com uma separa\u00e7\u00e3o inicial entre m\u00e9tricas base, temporal e ambiental. Nesse est\u00e1gio, as descri\u00e7\u00f5es textuais foram formalizadas de maneira imprecisa e os tr\u00eas grupos de m\u00e9tricas foram calculados independentemente.<\/p>\n O CVSS 2.0 introduziu uma sequ\u00eancia de vetores padronizada e uma nova l\u00f3gica: uma Pontua\u00e7\u00e3o de base obrigat\u00f3ria e imut\u00e1vel, uma Pontua\u00e7\u00e3o temporal calculada a partir da Pontua\u00e7\u00e3o de base, mas contabilizando fatores de mudan\u00e7a, e uma pontua\u00e7\u00e3o Ambiental usada dentro de organiza\u00e7\u00f5es e condi\u00e7\u00f5es espec\u00edficas derivadas da Pontua\u00e7\u00e3o de base ou temporal.<\/p>\n As vers\u00f5es 3.0 e 3.1 adicionaram o conceito de Escopo (impacto em outros componentes do sistema). Elas tamb\u00e9m definiram com mais precis\u00e3o os par\u00e2metros relacionados aos privil\u00e9gios necess\u00e1rios e \u00e0 intera\u00e7\u00e3o do usu\u00e1rio, bem como generalizaram e refinaram os valores de muitos par\u00e2metros. Mais importante, essas vers\u00f5es refor\u00e7aram que o CVSS mede o impacto de uma vulnerabilidade, e n\u00e3o os riscos decorrentes dela.<\/p>\n Na vers\u00e3o 4.0, os criadores procuraram tornar a m\u00e9trica CVSS mais relevante para an\u00e1lises de risco no contexto dos neg\u00f3cios, considerando o impacto das vulnerabilidades. No entanto, essa ainda n\u00e3o \u00e9 uma m\u00e9trica de risco. A complexidade do ataque foi dividida em dois componentes distintos: requisitos de ataque e complexidade de ataque. Isso destaca a diferen\u00e7a entre a dificuldade de engenharia inerente de um ataque e os fatores externos ou as condi\u00e7\u00f5es necess\u00e1rias para o sucesso dele. Na pr\u00e1tica, isso significa que uma falha que depende de uma configura\u00e7\u00e3o espec\u00edfica e n\u00e3o padr\u00e3o do produto para ser explorada ter\u00e1 requisitos de ataque mais altos e, por isso, uma pontua\u00e7\u00e3o CVSS geral mais baixa.<\/p>\n A m\u00e9trica Escopo, muitas vezes incompreendida, que simplesmente oferecia as op\u00e7\u00f5es \u201csim\u201d ou \u201cn\u00e3o\u201d para \u201cimpacto em outros componentes\u201d, foi substitu\u00edda. Os desenvolvedores introduziram o conceito mais claro de \u201csistemas subsequentes\u201d, que agora especifica qual aspecto de sua opera\u00e7\u00e3o a vulnerabilidade afeta. Al\u00e9m disso, foram adicionados diversos indicadores de apoio, como a possibilidade de automatizar um exploit e o impacto da explora\u00e7\u00e3o na seguran\u00e7a f\u00edsica de pessoas. As pr\u00f3prias f\u00f3rmulas tamb\u00e9m passaram por revis\u00f5es substanciais. A influ\u00eancia de diversos componentes na pontua\u00e7\u00e3o num\u00e9rica da amea\u00e7a foi reavaliada com base em um extenso banco de dados de vulnerabilidades e em dados reais de explora\u00e7\u00e3o.<\/p>\n Para os profissionais de seguran\u00e7a cibern\u00e9tica, o CVSS 4.0 pretende ser mais pr\u00e1tico e relevante para as realidades de hoje. Estamos enfrentando dezenas de milhares de vulnerabilidades, muitas das quais recebem uma pontua\u00e7\u00e3o CVSS alta. Isso geralmente faz com que elas sejam automaticamente sinalizadas para corre\u00e7\u00e3o imediata em muitas organiza\u00e7\u00f5es. O problema \u00e9 que essas listas est\u00e3o em constante crescimento e o tempo m\u00e9dio para se corrigir uma vulnerabilidade est\u00e1 pr\u00f3ximo de sete meses<\/a>.<\/p>\n Quando as vulnerabilidades s\u00e3o reavaliadas do CVSS 3.1 para o CVSS 4.0<\/a>, a Pontua\u00e7\u00e3o de base para defeitos com impacto entre 4,0 e 9,0 tende a aumentar ligeiramente. No entanto, para vulnerabilidades consideradas criticamente graves no CVSS 3.1, a pontua\u00e7\u00e3o geralmente permanece inalterada ou at\u00e9 diminui. Ainda mais importante, embora as m\u00e9tricas temporais antes tivessem pouca influ\u00eancia na pontua\u00e7\u00e3o num\u00e9rica de uma vulnerabilidade, agora as m\u00e9tricas de Amea\u00e7a e Ambientais exercem um impacto muito mais significativo. A Orange Cyberdefense realizou um estudo<\/a> para ilustrar esse ponto. Imagine que uma empresa est\u00e1 rastreando 8.000 vulnerabilidades e suas equipes de TI e seguran\u00e7a precisam corrigir todos os defeitos com uma pontua\u00e7\u00e3o CVSS de base acima de 8 dentro de um per\u00edodo especificado. Qual porcentagem dessas 8.000 vulnerabilidades do mundo real se enquadra nessa categoria, com ou sem considerar a exposi\u00e7\u00e3o da explora\u00e7\u00e3o ao p\u00fablico (ajuste temporal\/de amea\u00e7a)? O estudo revelou que o CVSS 4.0, na sua vers\u00e3o base, atribui uma pontua\u00e7\u00e3o igual ou superior a 8 para uma parcela maior de vulnerabilidades (33% contra 18% na vers\u00e3o 3.1). Por\u00e9m, ao considerar a disponibilidade de exploits, o n\u00famero diminui significativamente, reduzindo a quantidade de falhas realmente cr\u00edticas para priorizar (8% contra 10%).<\/p>\n Qual \u00e9 a diferen\u00e7a entre uma vulnerabilidade \u201ccr\u00edtica\u201d e uma que \u00e9 simplesmente perigosa? Uma descri\u00e7\u00e3o de impacto baseada em texto faz parte da especifica\u00e7\u00e3o, mas nem sempre \u00e9 necess\u00e1ria em uma descri\u00e7\u00e3o de vulnerabilidade:<\/p>\n Na pr\u00e1tica, muitos fornecedores de software adotam uma abordagem criativa para essas descri\u00e7\u00f5es de texto. Eles podem modificar os nomes ou incorporar suas pr\u00f3prias avalia\u00e7\u00f5es e fatores n\u00e3o inclu\u00eddos no CVSS. Um caso em quest\u00e3o \u00e9 o Microsoft Patch Tuesday de junho, especificamente CVE-2025-33064<\/a> e CVE-2025-32710<\/a>. O primeiro \u00e9 descrito como \u201cImportante\u201d e o segundo como \u201cCr\u00edtico\u201d, mas suas pontua\u00e7\u00f5es no CVSS 3.1 s\u00e3o 8,8 e 8,1, respectivamente.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Analisamos o Common Vulnerability Scoring System (CVSS): para que serve, como \u00e9 aplicado na pr\u00e1tica e por que a Pontua\u00e7\u00e3o de base \u00e9 apenas o ponto de partida da avalia\u00e7\u00e3o de vulnerabilidade.<\/p>\n","protected":false},"author":2722,"featured_media":24010,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1712,3363,830,3078,73,267],"class_list":{"0":"post-24009","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ciso","11":"tag-cvss","12":"tag-tips","13":"tag-estrategia","14":"tag-patches","15":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cvss-4-base-evolution\/24009\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cvss-4-base-evolution\/12577\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cvss-4-base-evolution\/28320\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cvss-4-base-evolution\/31157\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cvss-4-base-evolution\/29830\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cvss-4-base-evolution\/40086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cvss-4-base-evolution\/13555\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cvss-4-base-evolution\/53825\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cvss-4-base-evolution\/22979\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cvss-4-base-evolution\/32432\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cvss-4-base-evolution\/29378\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24009","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24009"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24009\/revisions"}],"predecessor-version":[{"id":24011,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24009\/revisions\/24011"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24010"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24009"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24009"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24009"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
A evolu\u00e7\u00e3o do CVSS<\/h2>\n
Como o CVSS 4.0 est\u00e1 mudando a prioriza\u00e7\u00e3o de vulnerabilidades<\/h2>\n
Cr\u00edtico, Alto e tudo mais<\/h2>\n
\n