Cabecera blog ciberseguridad

CVSS: Poniéndole nota a las vulnerabilidades IT

CVSS es un framework fundamental para puntuar las vulnerabilidades IT

Desde que entramos en el sistema educativo, nos acostumbrados a ser evaluados. Pero la evaluación no se limita al ámbito formativo, sino que somos evaluados en casi todos los ámbitos de nuestra vida, ya sea formal o informalmente. En el terreno de los servicios de ciberseguridad, la evaluación de las vulnerabilidades de los entornos IT es absolutamente clave. Ya que ayuda a corregir problemas detectados y evitar que los agresores empleen dichas vulnerabilidades para comprometer la seguridad de software y hardware. Por ello, el Common Vulnerability Scoring System (CVSS), se ha transformado en un framework, abierto y aceptado como estándar a nivel mundial, para ponerle nota a las vulnerabilidades IT.

El origen del CVSS se encuentra en los albores de la digitalización del mundo. En el año 1990, tras las catastróficas consecuencias de un gusano de internet, se puso en marcha el Forum of Incident Response and Security Teams (FIRST). Su objetivo era y sigue siendo contribuir a un internet más seguro para todos, gestionando las vulnerabilidades de seguridad y respondiendo a los continuos ataques.

Para cumplir con su misión, este foro, que incluye a equipos de seguridad de administraciones, compañías e investigadores de todo el mundo, creó el CVSS en 2004. Un sistema estándar para ponerle nota a las vulnerabilidades IT y analizar el impacto que tendrían en los activos de una organización.

La última versión del CVSS, la 3.1., vio la luz en 2019 confirmando el estatus de este framework y la importancia que tiene para desarrolladores y servicios de ciberseguridad de todo el planeta. A continuación, vamos a analizar cómo se emplea y cuál es su utilidad.

1. Métricas de riesgo

Como decíamos, CVSS es, en esencia, un sistema de puntuación que permite estandarizar la evaluación del impacto de las vulnerabilidades. Dicho sistema se sustenta sobre tres grandes grupos de métricas: base, temporal y entorno.

1.1. Métricas Base

Este grupo engloba métricas que hacen referencia a las características intrínsecas de una vulnerabilidad que son constantes a lo largo del tiempo y en todos los entornos de usuario. Éstas se agrupan, a su vez, en dos subcategorías: Explotación e Impacto.

1.1.1. Explotación de la vulnerabilidad

Las métricas de Explotación aluden tanto a la dificultad para explotar una vulnerabilidad como a los medios técnicos que se pueden emplear para hacerlo. CVSS incluye cuatro métricas de Explotación:

  • Vector de ataque. Esta métrica se centra en el contexto en el que puede ocurrir la explotación de la vulnerabilidad que se está evaluando. No es lo mismo que una vulnerabilidad pueda ser explotada a través de la Red, que dicha explotación solo se pueda llevar a cabo si se tiene acceso físico al componente que se quiere atacar.
  • Complejidad de ataque. Describe las condiciones que deben darse para que sea posible explotar la vulnerabilidad. Como la recopilación de más información sobre el objetivo o la existencia de unas condiciones concretas.
  • Privilegios requeridos. Pone el foco en el nivel de privilegios que debe poseer un atacante para poder explotar con éxito la vulnerabilidad analizada.
  • Interacción de usuario. Esta métrica determina si la vulnerabilidad que se está analizando puede ser explotada únicamente por la acción del atacante o si es necesario que participe otro usuario.

Asimismo, a partir de la versión 3, se introdujo una nueva métrica: Alcance. Esta característica complementa la evaluación de las métricas anteriores. Su objetivo es precisar si una vulnerabilidad en un componente vulnerable afecta a los recursos de dicho componente, más allá de su alcance de seguridad. Si esto sucede, se produce un cambio de ámbito y la puntuación base será mayor.

1.1.2. Impacto de la vulnerabilidad

Mientras que las métricas de Impacto sintetizan las consecuencias de una explotación exitosa en el componente impactado, ya sea una aplicación, un dispositivo o un recurso de red. Estas métricas son:

  • Confidencialidad. Esta métrica se centra en el posible impacto de acceso a la información gestionada por el sistema. En caso de que se explote una vulnerabilidad, ¿se perdería la confidencialidad?
  • Integridad. Mide cómo impacta la explotación de una vulnerabilidad en su integridad, es decir si puede existir algún tipo de manipulación de la información gestionada por el sistema de información.
  • Disponibilidad. Esta métrica mide cuál es la disponibilidad del componente impactado cuando la vulnerabilidad es explotada con éxito. Las dos primeras métricas se centran en la pérdida o no de confidencialidad e integridad de los datos empleados por el componente que se ha visto afectado. Mientras que ésta pone el foco en la propia disponibilidad del componente, es decir, la accesibilidad a los recursos de información.

Cabe precisar que, si se ha producido un cambio en el alcance de seguridad, en analista debe estudiar la confidencialidad, integridad y disponibilidad no solo en el componente vulnerable, sino también en el componente afectado, en función de cuál de los dos sufra el resultado más severo.

1.2. Métricas Temporales

Este grupo de métricas refleja las características de una vulnerabilidad que pueden cambiar con el tiempo, pero no con los entornos. Así, miden el estado actual de las técnicas de explotación. Por ejemplo, si los desarrolladores crean un parche oficial para una aplicación, se reduciría el nivel de vulnerabilidad y, por ende, la puntuación del CVSS. Estas métricas son:

  • Explotabilidad. Esta métrica mide la probabilidad de que una vulnerabilidad sea atacada. Para ello se basa tanto en el estado actual de las técnicas de explotación, la disponibilidad del código de explotación o la explotación activa. Así, si el código es disponible de manera pública, el número de posibles atacantes aumenta enormemente.
  • Nivel de remediación. La vulnerabilidad típica no tiene parches cuando se publica inicialmente. Sin embargo, si se desarrollan parches o se implementan actualizaciones el nivel de remediación aumenta y, por ende, la gravedad de la vulnerabilidad disminuye. De tal manera que esta métrica temporal sirve para reducir la puntuación de la vulnerabilidad IT.
  • Informe de confianza. Mediante esta métrica se estudia el nivel de certeza que se tiene en que existe la vulnerabilidad, así como la credibilidad de los detalles técnicos conocidos. Cuanto mayor sea el nivel de certeza en que la vulnerabilidad existe, mayor será la urgencia en arreglarla.

1.3. Métricas de entorno

Las métricas de entorno aluden a las características de una vulnerabilidad que son importantes para un entorno en particular dada su posible criticidad en el contexto de una organización. En este sentido destacan la presencia o no de controles de seguridad que puedan mitigar las consecuencias de un ataque que haya tenido éxito. Así como el impacto en la confidencialidad, integridad y disponibilidad de la información.

Mediante estas métricas se personaliza la puntuación CVSS de una vulnerabilidad IT, en función de la importancia que tiene para la organización el activo afectado. Por ejemplo, si la organización es una plataforma e-commerce, y la explotación de la vulnerabilidad afecta a la disponibilidad de la plataforma, el impacto en el negocio será mayúsculo. De ahí que el analista le dé un mayor peso frente a la confidencialidad o la integridad.

Estas métricas permiten que el analista anule las métricas base, en función de las especificidades de la organización y las características específicas del entorno.

CVSS establece métricas, valores, rúbricas y fórmulas para puntuar las vulnerabilidades

2. Cálculo de la nota CVSS: valores, vectores y ecuaciones

2.1. Valores y rúbricas de CVSS

Cada una de las métricas que venimos de describir se evalúa a través de unos valores predefinidos por CVSS. Por ejemplo, la primera métrica, Vector de ataque, tiene cuatro posibles valores: Red (N), Adyacente (A), Local (L), Físico (P). El valor de esta métrica será mayor cuanto más remoto pueda estar un atacante. Puesto que, si una vulnerabilidad puede ser explotada desde el otro lado de la red, está expuesta a un número mayor de posibles ataques que si es necesario tener acceso físico a un dispositivo. En términos numéricos, Red (N) se valora con 0,85 puntos, mientras que Físico (P) se valora solo con 0,2.

La existencia de una rúbrica para cada métrica facilita la tarea de los analistas y es fundamental no solo para puntuar las vulnerabilidades IT, sino para sistematizar la forma de analizarlas.

2.2. Vectores CVSS

Como hemos apuntado, cada valor tiene asociada una nota, pero también una letra que lo identifica. Esto es fundamental para confeccionar los vectores. Mediante estos se representan de manera gráfica y sucinta todos los valores de las métricas de CVSS.

En el propio documento de especificaciones de CVSS se pone el siguiente ejemplo de vector:
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N

Si lo traducimos nos encontramos con la siguiente información sobre la vulnerabilidad, en lo que respecta a las métricas base: Vector de ataque: Red; Complejidad de ataque: Baja; Privilegios requeridos: Altos; Interacción de usuario: Ninguna; Alcance: Sin cambios; Confidencialidad: Baja; Integridad: Baja; Disponibilidad: Ninguna.

En el caso de añadirse las métricas temporales o de entorno, se incluirían de manera subsecuente en el vector.

Mediante este vector no solo se sistematiza y resume todo el análisis, sino que se muestran las características de la vulnerabilidad de forma sencilla y transparente.

2.3. Métricas imprescindibles

En el ejemplo que venimos de ilustrar, no se incluyeron las métricas temporales y de entorno. Esto se debe a que dichas métricas no son indispensables a la hora de analizar una vulnerabilidad empleando CVSS.

Es decir, las métricas base son obligatorias y las temporales y de entorno son opcionales. De tal forma que el analista que esté aplicando las métricas, deberá decidir si las incluye en su análisis o no, en función de las características de la vulnerabilidad y del componente.

2.4. Calculadora CVSS

La obtención de la puntuación final de las vulnerabilidades IT no es resultado de una mera suma, sino que CVSS incorpora en sus especificaciones las fórmulas que se deben emplear para calcular la nota.

Los cálculos de estas ecuaciones se pueden, obviamente, automatizar. Por ejemplo, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) así como FIRST, ponen a disposición de analistas y desarrolladores una calculadora para obtener la puntuación de una vulnerabilidad. El usuario solo tiene que introducir el valor de cada métrica y la aplicación realiza el cálculo automáticamente, empleando las fórmulas de CVSS.

Así, una vulnerabilidad X representada por un vector CVSS:3.1./AV:A/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:L, obtendría una nota de 6.8.

Mientras que en el ejemplo que indicamos antes: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N, la puntuación sería 3.8.

Si se incluyeran algunas de las métricas temporales y de entorno, la puntuación se vería, obviamente, alterada. Así, en el primer caso de vulnerabilidad, cuya nota es de 6.8., tras aplicar las métricas base, ascendería a un 7.5, si se añade la métrica de modificación del impacto de disponibilidad (MA) valorándola de manera alta (H).

CVSS es un aliado para los analistas de seguridad

3. Nivel de severidad de la vulnerabilidad

Al igual que sucede en el sistema educativo, la nota numérica tiene una traslación en palabras. Si obtener un 9-10 en una materia se traduce como un sobresaliente, lograr una puntuación entre 9-10 en el análisis de una vulnerabilidad significa que la severidad de ésta es crítica. Es decir, el impacto de su explotación puede ser devastador para la plataforma que se vea afectada.

En el lugar contrario del espectro se encuentran las vulnerabilidades puntadas con un 0 (nivel de impacto nulo) y entre un 0,1 y un 3,9 (nivel de severidad bajo). Entre el 4 y el 6,9 la gravedad de la vulnerabilidad es media, mientras que entre el 7 y el 8,9 es alta.

Si retomamos los ejemplos del apartado anterior, nos encontraríamos con que la primera vulnerabilidad tendría un nivel de severidad medio, mientras que la vulnerabilidad puesta como ejemplo por CVSS sería de nivel bajo.

3.1. CVE: sistematización de las vulnerabilidades públicas

La corporación MITRE recopila y divulga las vulnerabilidades de ciberseguridad conocidas públicamente. Así, el CVE o Common Vulnerabilities and Exposures, es un diccionario permanentemente actualizado que registra las vulnerabilidades que se van conociendo. Esto le ha permitido convertirse en un estándar en el campo de la ciberseguridad, ayudando a que la denominación de las vulnerabilidades sea homogénea y esté sistematizada.

Para que nos hagamos una idea de la inmensa cantidad de vulnerabilidades existentes, en esta web se pueden consultar todas ellas, filtrándolas por la puntuación que obtienen en CVSS. Las vulnerabilidades críticas, es decir, puntuadas con más de un 9, son casi 20.000 (el 11,20% del total). Por ejemplo, la vulnerabilidad CVE-2022-30525 tiene una nota de 10 puntos en el framework de CVSS.

Así, CVSS no solo es una herramienta de trabajo especialmente útil, sino que, además, sistematiza la detección de vulnerabilidades que pueden acarrear graves consecuencias para organizaciones y usuarios. Y, además, al conjugarse con otro estándar como CVE, podemos obtener una panorámica completa de las vulnerabilidades existentes.

4. Facilitar la gestión de vulnerabilidades

Gracias a CVSS desarrolladores y analistas de ciberseguridad pueden manejar los mismos estándares a la hora de evaluar las vulnerabilidades IT. Lo que facilita, sobre manera, la gestión de dichas vulnerabilidades. Pero, además, al puntuarlas se pueden priorizar los recursos que debe emplear la organización para subsanar las diversas vulnerabilidades que se han hecho patentes en sus software y hardware.

Ninguna organización cuenta con recursos económicos, humanos, técnicos y temporales ilimitados. Por ello, es fundamental planificar cómo se emplean esos recursos a la hora de subsanar vulnerabilidades y securizar aplicaciones y dispositivos.

CVSS ofrece un framework que facilita la toma de decisiones y el diseño de una estrategia de trabajo. Cuanto mayor puede ser el daño causado por la vulnerabilidad, en el caso de que sea explotada con éxito, más urgente resulta, para la organización, ponerle coto.

Además de contribuir a la organización del trabajo de ciberseguridad y a la puesta en marcha de respuestas rápidas, CVSS y su sistema para puntuar las vulnerabilidades IT son claves para la toma de conciencia dentro de las organizaciones.

4.1. Salir al mercado con garantías de seguridad

En un mundo cada vez más acelerado y con un mercado global extremadamente competitivo, conceptos como el Time to Market se han convertido en protagonistas. Los tiempos para desarrollar IT se han reducido, con vista a que las aplicaciones y los dispositivos lleguen cuanto antes al mercado y puedan ser comercializados.

Sin embargo, ello no puede implicar descuidar la seguridad y abrir la puerta a vulnerabilidades IT. Más aún, si estas vulnerabilidades son críticas, como aquellas que obtienen una nota por encima del 9 en CVSS.

Las consecuencias de sufrir un ataque de gravedad pueden ser devastadoras para una compañía. Tanto en términos económicos y legales a corto plazo. Pero también en lo que respecta a su prestigio y reputación en el largo plazo.

CVSS visibiliza, así, una realidad que a veces se pasa por alto: la ciberseguridad es una cuestión estratégica. Securizar las aplicaciones y los dispositivos no es un elemento más a tener en cuenta a la hora de definir la estrategia empresarial, sino que debe ser un pilar maestro de ésta.

En definitiva, CVSS se ha convertido en un estándar para analizar las vulnerabilidades que afectan a software y hardware en todo el mundo. Ayudando a los analistas de ciberseguridad a estudiarlas con detenimiento.  Y evaluar su nivel de gravedad a través de métricas y rúbricas. CVSS no se centra en el riesgo de que las vulnerabilidades sean explotadas, sino en la severidad de las consecuencias que esto puede generar.

Todo ello ha convertido al framework CVSS en un aliado clave en la detección, análisis y mitigación de vulnerabilidades en aplicaciones y dispositivos.

Más artículos de la serie Evaluación de vulnerabilidades

Este artículo forma parte de una serie de articulos sobre Evaluación de vulnerabilidades

  1. CVSS: Poniéndole nota a las vulnerabilidades IT
  2. EPSS: ¿Cuál es la probabilidad de que se explote una vulnerabilidad?
  3. SSVC: Cómo tomar decisiones sobre las vulnerabilidades IT
  4. CVSS v4: Evaluar las vulnerabilidades para priorizar su mitigación