關於漏洞
資料來源自網路
Vulnerability
漏洞是一個存在於產品或是裝置的運算邏輯弱點,且可能被導致威脅的分子利用。
A Vulnerability is any weakness in the computational logic found in products or devices that could be exploited by a threat source.
一個由設計、實作、操作或內部控制導致的弱點,可能導致系統被暴露在攻擊事件中。
A weakness in the design, implementation, operation or internal control of a process that could expose the system to adverse threats from threat events.
一個安全漏洞是一個產品中的弱點,允許攻擊者傷害產品的完整性、可用性或機密性。
A security vulnerability is a weakness in a product that could allow an attacker to compromise the integrity, availability, or confidentiality of that product.
國際漏洞管理機構
CVE
https://cve.mitre.org/
MITRE就是維運CVE計畫背後的組織。MITRE是一個FFRDC(美國聯邦政府資助研究與發展中心(Federally Funded Research and Development Center),與美國政府的合作密切
ATT&CK架構也是他們的研究計畫之一
MITRE除維運CVE計畫,本身也是能夠發布CVE編號的CNA(CVE 編號管理者CVE Numbering Authority)
要通過8個判斷標準才能被認定是一個漏洞
CVE編號的格式是「CVE-4碼西元年-4碼以上流水編號(每年由0算起)」
CERT/CC:VU
https://www.kb.cert.org/vuls/id
美國Carnegie Mellon University所維運的CERT/CC也發有自己的漏洞編號, CERT的編號格式則是「VU#流水編號」,而每個VU編號可能可以對應0至多個CVE編號
ICS-CERT:ICS
僅處理與公控系統相關的資安問題,所以他們所發的編號也只跟工控系統相關,而內容則跟VU編號一樣較為廣泛。
ICS-CERT所發布的漏洞編號依種類而有所不同,如果是一個漏洞預警資訊,編號會是「ICS-ALERT-年-一年第幾天-流水編號」的形式
例如在2015年8月12日(一年第224天)所發布的第2個預警資訊,她的編號就會是「ICS-ALERT-15-224-02」
CVSS 通用漏洞評分系統
(Common Vulnerability Scoring System, CVSS)
2015年6月發布第三版CVSS (CVSSv3.0)。
2019年6月更新第三版CVSS (CVSSv3.1)。
CVSS V3.0
以3個群組來進行判斷
基本矩陣群 (Base metric group)
在此評估不會隨著時間及使用者環境更改的漏洞特徵。
暫時矩陣群 (Temporal metric group)
在此評估隨著時間更改,且不存在於使用者環境中的漏洞特徵。
環境矩陣群 (Environmental metric group)
在此評估與使用者環境相關且獨特的漏洞特徵。
Image Not Showing
Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
暫時矩陣群與環境矩陣群是隨著時間跟使用者自身的使用環境而且有差異的,後兩項屬於因應時間或個人差異所微調出的分數,所以並不會影響到一開始的基本矩陣內容及分數。
基本矩陣群會訂定出基本分數
暫時矩陣群及環境矩陣群則分別以基本矩陣群所產出的分數為基準,進行進一步的判斷,以獲取更嚴密的分數,但也因為後兩項算是進階選項,如果使用者想要進一步評估漏洞才會使用
大部分都只使用了基本矩陣群的部分。
Base metric group基本矩陣群
以8個面向來進行評分
並得出一個0.0~10.0分的分數,分數越高代表漏洞危險程度越高
Attack Vector, AV(攻擊向量)
- Network (N):由網際網路網路進行攻擊
- Adjacent (A): 由受限制的網路進行攻擊,如區域網路及藍芽等
- Local (L):在不連接網路的狀況下進行攻擊
- Physical (P ):需接觸到實體機器才能進行攻擊
Attack Complexity, AC(攻擊複雜度)
- Low (L):低,攻擊可被輕易重現
- High (H):高,須由攻擊者達成數項條件後才能成功
Privileges Required, PR(是否需要提權)
- None (N):不需要
- Low (L):需要一般使用者權限
- High (H):需要管理者權限
User Interaction, UI(是否需要使用者操作)
- None (N):不需要
- Required (R ):需要使用者操作某些動作才能讓攻擊成功
Scope, S(影響範圍)
- Unchanged (U) :僅影響含有漏洞的元件本身
- Changed (C ):會影響到含有漏洞的元件以外的元件
Confidentiality, C(機密性影響)
- None (N):無影響
- Low (L):攻擊者可以取得機密資料,但無法使用該資料
- High (H):攻擊者可以取得機密資料,且可以使用該資料
Integrity, I(完整性影響)
- None (N) :無影響
- Low (L) :攻擊者有部分權限以竄改某些資料,對含有漏洞之元件影響較小
- High (H):攻擊者有權限竄改所有資料,對含有漏洞之元件有嚴重影響
Availability, A(可用性影響)
- None (N):無影響
- Low (L):可用性受到影響,導致服務或元件仍可被部分取得,或是時好時壞
- High (H):可用性受到嚴重影響,導致服務或元件完全不可被取得
Base metric group Example
CVE-2017-0144的向量字串長相則為「CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H」
Temporal metric group暫時矩陣群
Exploit Code Maturity, E(攻擊程式碼成熟度)
- Not Defined (X):尚未定義
- Unproven (U):攻擊程式碼仍處於理論階段,或尚未有人撰寫出來
- Proof-of-Concept §:已可以找到概念驗證Proof-of-concept, Poc)的程式碼,但尚未能應用在大部分的系統中,僅能被技術熟練的攻擊者利用。
- Functional (F):攻擊程式碼已被自動化,且容易被取得及執行。
- High (H)
- Not Defined (X):尚未定義
- Official Fix (O):官方已經發布完整的修補或更新方案
- Temporary Fix (T):官方已經發布暫時的解決方案,例如提供一個暫時可以移除漏洞風險的工具或設定方式
- Workaround (W):已由非官方發布解決方案
- Unavailable (U):尚未有解決方案,或是解決方案難以被應用
Report Confidence, RC(現有漏洞報告可信度)
- Not Defined (X):尚未定義
- Unknown (U):漏洞報告存在,但是無法確認漏洞成因或所造成的影響
- Reasonable ®:有明確的細節描述漏洞,且漏洞的確造成一個以上可被驗證的影響,但研究人員無法得出漏洞的主要成因,或是因為無法取得程式碼,導致無法證實漏洞存在於程式碼中
- Confirmed ©:存在詳細的技術報告,且有進一步的技術細節(如程式碼)可以證實漏洞
Environmental metric group環境矩陣群
使用者可以根據自己組織的基礎建設,評估基本矩陣的各項數值是否需要調整,因此這個部分的選項都是相對基本矩陣的答案來做選擇,在此分為安全需求及基本矩陣項目是否修改兩大項。
Security Requirements(安全需求)
- 機密性需求 (Confidentiality Requirement, CR)
- Not Defined (X):尚未定義
- Low (L):機密性受到損失會對組織及其員工、客戶僅有些許影響
- Medium (M):機密性受到損失會對組織及其員工、客戶僅有嚴重影響
- High (H) :機密性受到損失會對組織及其員工、客戶僅有災難性的影響
- 完整性需求 (Integrity Requirement, IR)
- Not Defined (X):尚未定義
- Low (L):完整性受到損失會對組織及其員工、客戶僅有些許影響
- Medium (M):完整性受到損失會對組織及其員工、客戶僅有嚴重影響
- High (H) :完整性受到損失會對組織及其員工、客戶僅有災難性的影響
- 可用性需求 (Availability Requirement, AR)
- Not Defined (X):尚未定義
- Low (L):可用性受到損失會對組織及其員工、客戶僅有些許影響
- Medium (M):可用性受到損失會對組織及其員工、客戶僅有嚴重影響
- High (H) :可用性受到損失會對組織及其員工、客戶僅有災難性的影響
Modified Base Metrics(基本矩陣項目是否修改)
- 這邊的項目跟選項跟基本矩陣是一樣的,只是如果使用者的組織因自身環境或設備差異,導致與基本矩陣的答案有所差異時,就可以在這邊重新選擇並修改。