Що таке CVSS і що насправді означає оцінка 9.8

Що таке CVSS насправді

CVSS — це спосіб швидко описати, наскільки небезпечна вразливість виглядає з технічного боку. Це не вирок, а швидка лінійка для сортування проблем.

Оцінка 9.8 звучить страшно, але саме по собі це лише число. Воно не знає, чи твій сервіс взагалі в зоні ризику, чи потрібен атакувальнику логін, чи має користувач щось натиснути, і чи проблема б’є по конфіденційності, цілісності або доступності.

Проблема / контекст

Стрічки новин люблять цифру 9.8. Вона добре лякає, добре клікається і дуже погано пояснює реальний стан справ.

Одна й та сама CVSS-оцінка може означати різні речі:

• для публічного сервісу без авторизації це може бути справді гаряча історія;
• для внутрішнього інструмента за VPN ризик часто нижчий;
• для системи, де вразлива функція взагалі вимкнена, це може бути майже шум.

Тобто CVSS — це не “помри зараз”, а “подивись уважніше”.

Як читати оцінку без шаманства

1. Дивись не лише на число

Базова оцінка — це головне число від 0 до 10. Воно допомагає швидко відсортувати проблему: щось треба брати в роботу одразу, щось може трохи почекати.

Але число не знає твою архітектуру. Воно не бачить, чи сервіс стоїть за VPN, чи доступний з інтернету, чи є поруч додатковий захист, чи взагалі користувачі можуть дістатися до вразливого місця.

2. Читай вектор

Вектор — це короткий технічний опис, який стоїть поруч з оцінкою. Він потрібен не для краси, а щоб ти зрозумів, чому саме число вийшло таким.

У векторі важливі кілька речей:

• вектор атаки — звідки взагалі можна почати;
• права доступу — чи треба атакувальнику вже мати якийсь доступ;
• взаємодія користувача — чи треба змусити людину щось зробити;
• вплив на конфіденційність, цілісність і доступність.

Якщо атака йде через мережу, без логіну і без дій користувача, ризик зазвичай вищий. Якщо потрібні права, локальний доступ або складна ручна послідовність, практична небезпека часто нижча, ніж кричить заголовок.

3. Не плутай оцінку з твоїм реальним ризиком

Критичність у CVSS — це технічна оцінка. Ризик у твоєму сервісі — це вже поєднання оцінки з контекстом.

Одна й та сама проблема може бути:

• майже невидимою на закритому внутрішньому стенді;
• дуже неприємною на публічному сервісі;
• терміновою, якщо вже є POC або активна експлуатація.

Тому нормальне питання звучить не “яка там цифра?”, а “чи ця цифра справді дотягується до мого сервісу”.

Практичний алгоритм

Крок 1. Знайди точний продукт і версію

Починай не з номерка, а з факту: що саме у тебе стоїть і яка це версія. Без цього будь-яка новина про CVE або CVSS — просто шум.

Крок 2. Прочитай офіційне повідомлення

Потрібно бачити не тільки оцінку, а й умови:

• які версії зачепило;
• чи проблема є в default-конфігурації;
• чи потрібна окрема опція або фіча;
• чи вже є патч.

Крок 3. Подивись на вектор

Не обов’язково вчити всі літери напам’ять. Достатньо відповісти на прості питання:

• звідки стартує атака;
• чи треба щось вгадати або вкрасти;
• чи треба клік користувача;
• що саме постраждає у разі успіху.

Крок 4. Перевір, чи це реально досяжно у твоєму середовищі

Публічний сервіс, внутрішній сервіс, вимкнена фіча, окремий ролик за VPN — це все змінює картину сильніше, ніж може здатися з першого погляду.

Крок 5. Оціни терміновість

Дивись на три речі разом:

• CVSS-оцінка;
• наявність POC або експлойту;
• чи є активна експлуатація.

Якщо все це складається в одну картину, патчити треба швидко. Якщо ні — можна спокійно піти через вікно для тесту, але не забути про нього.

Крок 6. Обери дію

Зазвичай варіанти такі:

• патч — якщо оновлення доступне і ризик справді високий;
• тимчасове зменшення ризику — якщо треба дотягнути до оновлення без зайвого шуму;
• спостереження — якщо ти не affected або проблема поки не досягає твоєї системи.

Типові помилки

1. Вірити лише числу

9.8 — це не магічна кнопка “все горить”. Іноді це правда, а іноді лише гучний заголовок.

2. Ігнорувати помірну оцінку

Навіть оцінка 5.0 може бути неприємною, якщо сервіс публічний, дані важливі, а патч уже є.

3. Забувати про контекст

CVSS не знає, що у тебе вразлива функція вимкнена або схована за додатковим шаром захисту.

4. Патчити без перевірки

Після оновлення треба не тільки радіти, а й перевірити сервіс, логіку входу, критичні сценарії та логи. Інакше можна закрити одну дірку і відкрити іншу проблему.

Висновок / план дії

CVSS корисний як фільтр пріоритетів. Але остаточне рішення завжди приймає твій контекст.

Проста схема така:

1. Подивись на число.
2. Прочитай вектор.
3. Зістав це з тим, як твій сервіс реально працює.
4. Якщо є доступ з інтернету, низькі вимоги для атаки і вже є POC або експлойт — рухайся до патча без затягування.
5. Якщо поки не affected — збережи запис і йди далі.

CVSS не каже, що робити сам по собі. Він каже, куди дивитися першим.

Офіційні джерела:

• https://www.first.org/cvss/
• https://www.first.org/cvss/specification-document
• https://nvd.nist.gov/vuln-metrics/cvss