hiện sử dụng song song hai phiên bản 2.0 và 3.0. Sự ra đời của phiên bản 3.0 (CVSSv3) được cộng đồng bảo mật đánh giá cao, đặc biệt là trong việc chấm điểm chính xác các lỗ hổng bảo mật liên quan đến ứng dụng web.
đã có một số cải tiến đáng kể, cụ thể là sự thay đổi cách tính điểm cơ sở. Trong khi ba nhóm chỉ số: Điểm cơ sở, Điểm thời gian và Điểm môi trường vẫn giữ nguyên, thì các danh mục mới như Phạm vi (Scope - S) và Tương tác người dùng (User Interaction - UI) đã được thêm vào. Bên cạnh đó, một số chỉ số hiện có như Xác thực (Authentication - Au) đã được thay đổi thành Yêu cầu Đặc quyền (Privileges Required - PR). Cụ thể một số thay đổi trong CVSSv3 như sau:
Thứ nhất: Vectơ truy cập (v2.0) được đổi tên thành Vectơ tấn công (Attack Vector - AV) và bổ sung thêm giá trị Vật lý (Physical - P). Giá trị này chỉ ra một lỗ hổng trong đó đối thủ phải có quyền truy cập vật lý vào hệ thống để khai thác lỗ hổng này.
Thứ hai: Độ phức tạp khi truy cập (v2.0) bao gồm hai vấn đề: (1) Các điều kiện về phần mềm, phần cứng hoặc mạng phải tồn tại hoặc xảy ra để lỗ hổng được khai thác thành công (ví dụ: điều kiện lỗ hổng phần mềm hoặc cấu hình ứng dụng); (2) yêu cầu về sự tương tác của con người (ví dụ: yêu cầu người dùng thực thi một tệp thực thi độc hại). Do đó, Độ phức tạp của truy cập đã được tách thành hai số liệu, Độ phức tạp tấn công (Attack Complexity - MAC) và Tương tác người dùng.
Thứ ba: Yêu cầu đặc quyền là chỉ số thay thế chỉ số Xác thực của v2.0. Thay vì đo lường số lần kẻ tấn công phải xác thực riêng biệt với hệ thống, Yêu cầu Đặc quyền nắm bắt mức độ truy cập cần thiết cho một cuộc tấn công thành công.
Các giá trị chỉ số ảnh hưởng đến Tính bảo mật, Tính toàn vẹn và Tính khả dụng từ phiên bản 2.0 gồm None, Partial, Complete đã được thay thế bằng None, Low và High. Thay vì đại diện cho tỷ lệ (phần trăm) tổng thể của các hệ thống bị ảnh hưởng bởi một cuộc tấn công, các giá trị số liệu mới phản ánh mức độ tác động tổng thể do một cuộc tấn công gây ra. Ví dụ, trong khi lỗ hổng Heartbleed6 chỉ gây ra mất mát một lượng nhỏ thông tin, nhưng tác động lại khá nghiêm trọng. Trong CVSS v2.0, điểm này sẽ được chấm là Từng phần (Partial), còn với CVSS v3.0 điểm này thích hợp được cho là High (Cao).
Về bản chất, CVSS không tính đến trường hợp kẻ tấn công sử dụng kết hợp một loạt các lỗ hổng với nhau gây ảnh hưởng đến hệ thống. Do đó, điểm CVSS nhất định có thể không phải lúc nào cũng phản ánh chính xác mức độ nghiêm trọng của một lỗ hổng cụ thể, do bối cảnh của lỗ hổng trong một tổ chức. Tuy nhiên, CVSSv3 với chỉ số cơ sở mới đã khắc phục vấn đề này, giá trị Phạm vi sẽ xác định liệu lỗ hổng bảo mật có thể xâm phạm thành phần khác với thành phần dễ bị tấn công ban đầu hay không. Điều này làm cho không chỉ Điểm cơ sở được tăng lên mà tác động của Tính bảo mật, Tính toàn vẹn và Tính khả dụng được đánh giá theo thành phần bị ảnh hưởng (ví dụ: trình duyệt web bị ảnh hưởng bởi một lỗ hổng trong máy chủ web).
Dưới đây là bảng kết quả đánh giá lỗ hổng được phản ánh trên Cross-site Scripting trong phpMyAdmin () của hai phiên bản CVSSv2 và CVSSv3. Với lỗ hổng này, Điểm cơ bản CVSSv2 là 4,3 nhưng trên CVSSv3 Điểm cơ bản là 6,1.
Bảng 1: So sánh CVSSv2 và CVSSv3 lỗ hổng (* hay đổi tên so với CVSS v2)
|
Chỉ số |
CVSS v2 |
CVSS v3 |
Chú thích |
|
Attack Vector* |
Network |
Network |
Khả năng khai thác lỗ hổng bảo mật từ xa qua mạng hoặc yêu cầu truy cập vật lý. |
|
Attack Complexity* |
Medium |
Low |
Medium đã bị loại bỏ trong CVSS v3. Giá trị được đặt thành Low vì kẻ tấn công có thể liên tục khai thác mục tiêu dễ bị tấn công mà không tốn nhiều công sức. |
|
Privileges Required* |
None |
None |
Cả hai đều được đặt thành None, vì kẻ tấn công không yêu cầu bất kỳ hình thức xác thực nào để khai thác lỗ hổng. |
|
User Interaction |
N/A
|
Required |
Tính năng mới trong CVSS v3. Quá trình khai thác thành công yêu cầu sự tương tác, hành động phía người dùng. |
|
Scope |
N/A |
Changed |
Tính năng mới trong CVSS v3. Máy chủ web dễ bị tấn công tuy nhiên trình duyệt của người dùng cuối bị ảnh hưởng bởi lỗ hổng bảo mật, do đó phạm vi được đặt thành Changed. |
|
Confidentiality Impact |
None |
Low |
Đã nâng cấp từ None lên Low do phạm vi đã thay đổi. Điểm số được phản ánh dựa trên trình duyệt của người dùng cuối thay vì máy chủ web. Thông tin có thể được đọc từ trình duyệt và gửi lại cho nạn nhân. |
|
Integrity Impact |
Partial |
Low |
Kẻ tấn công có quyền kiểm soát hạn chế đối với những dữ liệu hoặc tệp có thể sửa đổi. |
|
Availability Impact |
None |
None |
Cả hai điểm đều được đặt thành None. Điều này có thể khiến trình duyệt chạy chậm. Tuy nhiên, nó thường được giải quyết bằng cách ngắt tab (hoặc cửa sổ) trình duyệt. |
Yếu tố thay đổi trong ví dụ trên là chỉ số phạm vi. Nếu phạm vi không thay đổi, giá trị bảo mật sẽ được đánh giá dựa trên máy chủ web thay vì trình duyệt web, giá trị này có thể chuyển thành None thay vì Low. Khi thay đổi giá trị phạm vi thành Unchanged và giá trị bảo mật thành None, Điểm cơ sở CVSS giảm xuống 4,3 bằng với số điểm mà nó đã được chỉ định trong CVSSv2.
Với những thông số của lỗ hổng bảo mật đã được liệt kê ở trên, có thể nhanh chóng tính được điểm cơ sở của lỗ hổng bảo mật CVE-2013-1937 bằng các công cụ sẵn có hoặc bằng các công thức tương ứng của từng phiên bản.
Hình dưới đây thể hiện điểm cơ sở của lỗ hổng CVE-2013-1937 theo 2 phiên bản 2.0 và 3.0, được mô tại trang web của
Điểm cơ sở của lỗ hổng CVE-2013-1937 (CVSSv2 (trái) và CVSSv3 (phải))
Với những thay đổi trong cách tính điểm, CVSSv3 đã khắc phục các nhược điểm của các phiên bản trước. Một loạt lỗ hổng bảo mật đã được chấm điểm là Cao trong phiên bản CVSSv3 thay vì điểm Trung bình trong CVSSv2. Những thay đổi trong cách tính điểm mới sẽ như một lời cảnh báo rằng các lỗ hổng bảo mật có thể đem lại rủi ro lớn hơn so với những gì đã xem xét trước đây.
Trần Nhật Long
07:00 | 06/08/2021
17:00 | 23/07/2021
11:00 | 18/02/2022
14:00 | 07/04/2022
08:00 | 13/12/2021
11:00 | 16/02/2022
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
08:00 | 15/05/2024
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
14:00 | 22/08/2024
