El grupo de métrica base captura las características de una vulnerabilidad constante con el tiempo y a través de ambientes de usuario. El Vector de Acceso, Complejidad de Acceso y Métricas de Autenticación capturan como la vulnerabilidad es accedida y si se requieren o no condicionales adicionales para explotarla. La métrica de impacto mide como una vulnerabilidad, si es explotada, podría directamente afectar un activo de TI, donde los impactos son definidos independientemente como el grado de perdida de confidencialidad, integridad y disponibilidad. Por ejemplo, una vulnerabilidad puede causar una perdida parcial de integridad y disponibilidad, pero no perdida de confidencialidad.

Vector de Acceso (AV)

Esta métrica refleja como es explotada la vulnerabilidad. Los posibles valores para esta métrica se listan a continuación. Mientras más remoto sea un atacante para atacar el host, mayor es la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

Local (L) | Una vulnerabilidad explotable solo con acceso local requiere al atacante tener ya sea acceso físico al sistema vulnerable o una cuenta local (shell). Ejemplos de vulnerabilidades explotables localmente son ataques periféricos como ataques Firewire/USB DMA, y escalado de privilegios (por ejemplo, sudo).

Red Adyacente (A) | Una vulnerabilidad explotable con un acceso de red adyacente requiere al atacante tener acceso ya sea al dominio de difusión o colisión del software vulnerable. Ejemplos de redes locales incluyen subred IP local, Bluetooth, IEE 802.11, y segmentos de Ethernet local.

Red (N) | Una vulnerabilidad explotable con acceso a red significa que el software vulnerable está en la pila de red y el atacante no requiere acceso a la red local o acceso local. Esta vulnerabilidad es algunas veces denominada como “explotable remotamente”. Un ejemplo de un ataque de red es un desbordamiento de buffer RPC.

Complejidad de Acceso (AC)

Esta métrica mide la complejidad del ataque requerido para explotar la vulnerabilidad una vez el atacante gana acceso al sistema objetivo. Por ejemplo, considerar un desbordamiento de buffer en un servicio de Internet, una vez ubicado el sistema objetivo, el atacante podría lanzar el exploit a voluntad.

Otras vulnerabilidades sin embargo, pueden requerir pasos adicionales para ser explotadas. Por ejemplo, una vulnerabilidad en un cliente de correo es solo explotable después de la descarga y apertura por parte del usuario de un adjunto contaminado. Los valores posibles para esta métrica son listados a continuación. Mientras menos complejidad es requerida, mayor puntuación para la vulnerabilidad.

Valor de la Métrica | Descripción

Alta (H) | Existen condiciones especiales de acceso. Por ejemplo.

• En la mayoría de configuraciones, la parte atacante debe tener privilegios elevados o burlar sistemas adicionales en adición al sistema atacante.
• El ataque depende de métodos de ingeniería social los cuales podrían fácilmente ser detectados por gente conocedora. Por ejemplo, la victima debe realizar muchas acciones sospechosas o atípicas.
• La configuración vulnerable raramente es vista en la práctica.
• Si existe una condición de carrera, la ventana es muy estrecha.

Medium (M) | Las condiciones de acceso son un tanto especializadas, los siguientes son ejemplos:

• La parte atacante está limitada a un grupo de sistemas o usuarios con algún nivel de autorización, posiblemente no confiable.
• Debe ser obtenida alguna información antes de poder ser lanzado un ataque satisfactorio.
• La configuración afectada no es por defecto, y no es configurada comúnmente (por ejemplo, una vulnerabilidad presente cuando un servidor realiza una autenticación de cuenta de usuario mediante un esquema específico, pero no presente en otros esquemas de autenticación).
• El ataque requiere una pequeña cantidad de ingeniería social lo cual podría ocasionalmente engañar a usuarios cautelosos (por ejemplo, ataques de phishing para modificar el estado del navegador web para mostrar un enlace falso, teniendo que estar previamente en la lista de amigos de alguien antes de enviar el exploit de IM).

Bajo (L) | No existen condiciones de acceso especializado o circunstancias extenuantes. Los siguientes son ejemplos:

• El producto afectado requiere típicamente acceso a un amplio rango de sistemas y usuarios, posiblemente anónimos o no confiables. (por ejemplos, una web de cara a Internet, o servidor de correo).
• La configuración afectada es por defecto o ubicua.
• El ataque puede ser realizado manualmente y requiere poca experiencia o captura de información adicional.
• Una condición de carrera es perezosa (por ejemplo, técnicamente es una carrera, pero fácilmente ganable).

Autenticación (Au)

Esta métrica mide el número de veces el cual un atacante debe autenticarse hacia un objetivo para explotar un vulnerabilidad. Esta métrica no mide la fuerza o complejidad del proceso de autenticación, solo el requerimiento por parte del atacante de proporcionar credenciales ante de la ocurrencia de un exploit. Los valores posibles para esta métrica se listan en la siguiente tabla. Mientras menos instancias de autenticación se requieren, mayor la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

• Varios (M) | Explotar la vulnerabilidad requiere la autenticación del atacante dos o más veces, aún si las mismas credenciales son usadas cada vez. Un ejemplo es un atacante autenticándose a un sistema operativo además de proporciona credenciales para acceder a la aplicación hospedada en este sistema.
• Único (S) | La vulnerabilidad requiere al atacante registrar su ingreso en el sistema (como en la línea de comando o mediante una sesión de escritorio o interfaz web).
• Ningún (N) | No se requiere autenticaión para explotar la vulnerabilidad.

La métrica debe ser aplicada basada en la autenticación requerida por el atacante antes de lanzar un ataque. Por ejemplo, si un servidor es vulnerable a un comando entregado antes de la autenticación del usuario, la métrica debe ser puntuada como “Ningún”, debido al lanzamiento del exploit por parte del atacante antes de requerirse las credenciales. Si el comando vulnerable es solo disponible después de una autenticación satisfactoria, entonces la vulnerabilidad debe ser puntuada como “Único” o “Varios”, dependiendo de cuantas instancias de autenticación deben ocurrir antes de entregar un comando.

Impacto a Confidencialidad (C)

Esta métrica mide el impacto sobre la confidencialidad de una vulnerabilidad explotada satisfactoriamente. La confidencialidad se refiere a limitar el acceso a la información y su exposición a únicamente usuarios autorizados, como también preservar su acceso o exposición a aquellos no autorizados. Los posibles valores para esta métrica se listan a continuación. El incremento en el impacto a la confidencialidad incrementa la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

Ningún (N) | No existe impacto a la confidencialidad de un sistema.
Parcial (P) | Existe una considerable exposición de información. Es posible el acceso a algunos archivos del sistema, pero el atacante no tiene control sobre lo obtenido, o el alcance y la perdida está limitada. Un ejemplo es una vulnerabilidad divulgando solo ciertas tablas de una base de datos.
Completo (C) | Existe una exposición total de información, resultando en la revelación de todos los archivos del sistema. El atacante es capaz de leer todos los datos del sistema (memoria, archivos, etc.).

Impacto a Integridad (I)

Este métrica mide el impacto a la integridad de una vulnerabilidad explotada satisfactoriamente. La integridad se refiere a la confiabilidad y garantía de veracidad de la información. Los valores posibles para esta métrica son listadas a continuación. El incremento en el impacto a la integridad incrementa la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

Ningún (N) | No existe impacto a la integridad del sistema.
Parcial (P) | Es posible la modificación de algunos archivos del sistema o información, pero el atacante no tiene control sobre lo modificable, o el alcance sobre lo afectado es limitado. Por ejemplo, los archivos del sistema o aplicación pueden ser sobrescritos o modificados, pero ya sea el atacante no tiene control sobre los archivos afectados o el atacante puede modificar solo archivos en un contexto o alcance limitado.
Completo (C) | Existe un compromiso total de la integridad del sistema. Existe una completa perdida de protección del sistema, resultando en el compromiso total del sistema. El atacante es capaz de modificar cualquier archivo sobre el sistema objetivo.

Impacto a Disponibilidad (A)

Esta métrica mide el impacto a la disponibilidad de una vulnerabilidad explotada satisfactoriamente. La disponibilidad se refiere a la accedibilidad de los recursos de información. Los ataques consumiendo ancho de banda, ciclos de procesador, o espacio en disco impactan en la disponibilidad de un sistema. Los valores posibles para esta métrica son listados a continuación. El incremento en el impacto a la disponibilidad incrementa la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

Ningún (N) | No existe impacto en la disponibilidad del sistema.
Parcial (P) | Existen interrupciones o desempeño reducido en la disponibilidad del recurso. Un ejemplo es un ataque de inundación basado en red el cual permite un limitado número de conexiones exitosas hacia un servicio de Internet.
Completo (C) | Existe un reinicio total del recurso afectado. El atacante puede hacer el recurso completamente no disponible.

Fuentes:

http://www.first.org/cvss/cvss-guide
http://www.reydes.com/d/?q=Introduccion_a_CVSS_Common_Vulnerability_Scor...