hiện sử dụng song song hai phiên bản 2.0 và 3.0. Sự ra đời của phiên bản 3.0 (CVSSv3) được cộng đồng bảo mật đánh giá cao, đặc biệt là trong việc chấm điểm chính xác các lỗ hổng bảo mật liên quan đến ứng dụng web.
đã có một số cải tiến đáng kể, cụ thể là sự thay đổi cách tính điểm cơ sở. Trong khi ba nhóm chỉ số: Điểm cơ sở, Điểm thời gian và Điểm môi trường vẫn giữ nguyên, thì các danh mục mới như Phạm vi (Scope - S) và Tương tác người dùng (User Interaction - UI) đã được thêm vào. Bên cạnh đó, một số chỉ số hiện có như Xác thực (Authentication - Au) đã được thay đổi thành Yêu cầu Đặc quyền (Privileges Required - PR). Cụ thể một số thay đổi trong CVSSv3 như sau:
Thứ nhất: Vectơ truy cập (v2.0) được đổi tên thành Vectơ tấn công (Attack Vector - AV) và bổ sung thêm giá trị Vật lý (Physical - P). Giá trị này chỉ ra một lỗ hổng trong đó đối thủ phải có quyền truy cập vật lý vào hệ thống để khai thác lỗ hổng này.
Thứ hai: Độ phức tạp khi truy cập (v2.0) bao gồm hai vấn đề: (1) Các điều kiện về phần mềm, phần cứng hoặc mạng phải tồn tại hoặc xảy ra để lỗ hổng được khai thác thành công (ví dụ: điều kiện lỗ hổng phần mềm hoặc cấu hình ứng dụng); (2) yêu cầu về sự tương tác của con người (ví dụ: yêu cầu người dùng thực thi một tệp thực thi độc hại). Do đó, Độ phức tạp của truy cập đã được tách thành hai số liệu, Độ phức tạp tấn công (Attack Complexity - MAC) và Tương tác người dùng.
Thứ ba: Yêu cầu đặc quyền là chỉ số thay thế chỉ số Xác thực của v2.0. Thay vì đo lường số lần kẻ tấn công phải xác thực riêng biệt với hệ thống, Yêu cầu Đặc quyền nắm bắt mức độ truy cập cần thiết cho một cuộc tấn công thành công.
Các giá trị chỉ số ảnh hưởng đến Tính bảo mật, Tính toàn vẹn và Tính khả dụng từ phiên bản 2.0 gồm None, Partial, Complete đã được thay thế bằng None, Low và High. Thay vì đại diện cho tỷ lệ (phần trăm) tổng thể của các hệ thống bị ảnh hưởng bởi một cuộc tấn công, các giá trị số liệu mới phản ánh mức độ tác động tổng thể do một cuộc tấn công gây ra. Ví dụ, trong khi lỗ hổng Heartbleed6 chỉ gây ra mất mát một lượng nhỏ thông tin, nhưng tác động lại khá nghiêm trọng. Trong CVSS v2.0, điểm này sẽ được chấm là Từng phần (Partial), còn với CVSS v3.0 điểm này thích hợp được cho là High (Cao).
Về bản chất, CVSS không tính đến trường hợp kẻ tấn công sử dụng kết hợp một loạt các lỗ hổng với nhau gây ảnh hưởng đến hệ thống. Do đó, điểm CVSS nhất định có thể không phải lúc nào cũng phản ánh chính xác mức độ nghiêm trọng của một lỗ hổng cụ thể, do bối cảnh của lỗ hổng trong một tổ chức. Tuy nhiên, CVSSv3 với chỉ số cơ sở mới đã khắc phục vấn đề này, giá trị Phạm vi sẽ xác định liệu lỗ hổng bảo mật có thể xâm phạm thành phần khác với thành phần dễ bị tấn công ban đầu hay không. Điều này làm cho không chỉ Điểm cơ sở được tăng lên mà tác động của Tính bảo mật, Tính toàn vẹn và Tính khả dụng được đánh giá theo thành phần bị ảnh hưởng (ví dụ: trình duyệt web bị ảnh hưởng bởi một lỗ hổng trong máy chủ web).
Dưới đây là bảng kết quả đánh giá lỗ hổng được phản ánh trên Cross-site Scripting trong phpMyAdmin () của hai phiên bản CVSSv2 và CVSSv3. Với lỗ hổng này, Điểm cơ bản CVSSv2 là 4,3 nhưng trên CVSSv3 Điểm cơ bản là 6,1.
Bảng 1: So sánh CVSSv2 và CVSSv3 lỗ hổng (* hay đổi tên so với CVSS v2)
|
Chỉ số |
CVSS v2 |
CVSS v3 |
Chú thích |
|
Attack Vector* |
Network |
Network |
Khả năng khai thác lỗ hổng bảo mật từ xa qua mạng hoặc yêu cầu truy cập vật lý. |
|
Attack Complexity* |
Medium |
Low |
Medium đã bị loại bỏ trong CVSS v3. Giá trị được đặt thành Low vì kẻ tấn công có thể liên tục khai thác mục tiêu dễ bị tấn công mà không tốn nhiều công sức. |
|
Privileges Required* |
None |
None |
Cả hai đều được đặt thành None, vì kẻ tấn công không yêu cầu bất kỳ hình thức xác thực nào để khai thác lỗ hổng. |
|
User Interaction |
N/A
|
Required |
Tính năng mới trong CVSS v3. Quá trình khai thác thành công yêu cầu sự tương tác, hành động phía người dùng. |
|
Scope |
N/A |
Changed |
Tính năng mới trong CVSS v3. Máy chủ web dễ bị tấn công tuy nhiên trình duyệt của người dùng cuối bị ảnh hưởng bởi lỗ hổng bảo mật, do đó phạm vi được đặt thành Changed. |
|
Confidentiality Impact |
None |
Low |
Đã nâng cấp từ None lên Low do phạm vi đã thay đổi. Điểm số được phản ánh dựa trên trình duyệt của người dùng cuối thay vì máy chủ web. Thông tin có thể được đọc từ trình duyệt và gửi lại cho nạn nhân. |
|
Integrity Impact |
Partial |
Low |
Kẻ tấn công có quyền kiểm soát hạn chế đối với những dữ liệu hoặc tệp có thể sửa đổi. |
|
Availability Impact |
None |
None |
Cả hai điểm đều được đặt thành None. Điều này có thể khiến trình duyệt chạy chậm. Tuy nhiên, nó thường được giải quyết bằng cách ngắt tab (hoặc cửa sổ) trình duyệt. |
Yếu tố thay đổi trong ví dụ trên là chỉ số phạm vi. Nếu phạm vi không thay đổi, giá trị bảo mật sẽ được đánh giá dựa trên máy chủ web thay vì trình duyệt web, giá trị này có thể chuyển thành None thay vì Low. Khi thay đổi giá trị phạm vi thành Unchanged và giá trị bảo mật thành None, Điểm cơ sở CVSS giảm xuống 4,3 bằng với số điểm mà nó đã được chỉ định trong CVSSv2.
Với những thông số của lỗ hổng bảo mật đã được liệt kê ở trên, có thể nhanh chóng tính được điểm cơ sở của lỗ hổng bảo mật CVE-2013-1937 bằng các công cụ sẵn có hoặc bằng các công thức tương ứng của từng phiên bản.
Hình dưới đây thể hiện điểm cơ sở của lỗ hổng CVE-2013-1937 theo 2 phiên bản 2.0 và 3.0, được mô tại trang web của
Điểm cơ sở của lỗ hổng CVE-2013-1937 (CVSSv2 (trái) và CVSSv3 (phải))
Với những thay đổi trong cách tính điểm, CVSSv3 đã khắc phục các nhược điểm của các phiên bản trước. Một loạt lỗ hổng bảo mật đã được chấm điểm là Cao trong phiên bản CVSSv3 thay vì điểm Trung bình trong CVSSv2. Những thay đổi trong cách tính điểm mới sẽ như một lời cảnh báo rằng các lỗ hổng bảo mật có thể đem lại rủi ro lớn hơn so với những gì đã xem xét trước đây.
Trần Nhật Long
07:00 | 06/08/2021
17:00 | 23/07/2021
11:00 | 18/02/2022
14:00 | 07/04/2022
08:00 | 13/12/2021
11:00 | 16/02/2022
07:00 | 16/09/2024
Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
10:00 | 18/07/2024
Theo báo cáo được các chuyên gia của hãng nghiên cứu bảo mật TRM Labs (Mỹ) cho biết, số tiền mã hóa bị đánh cắp trong các vụ tấn công mạng trên toàn cầu đã tăng hơn gấp đôi trong nửa đầu năm 2024 so với cùng kỳ năm ngoái.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
13:00 | 31/10/2024
