Wenn im Internet über Sicherheitslücken gesprochen wird, kommt oft auch der Begriff CVSS zur Sprache. CVSS steht für Common Vulnerability Scoring System.
Dabei handelt es sich um einen Industriestandard, mit dem Sicherheitslücken in Computersystemen einheitlich beschrieben werden können.
Es gibt bei CVSS mehrere Vektoren, die die Lücke aus verschiedenen Sichtweisen beschreiben sowie einen Schweregrad, der sich aus den Einzelvektoren ergibt.
Der Schweregrad reicht von 0,0 bis 10.
Beispiel Magento Lücke APPSEC-1420
Die Lücke APPSEC-1420, bekannt aus der „API der Hölle“ wird wie folgt bezeichnet
Unauthenticated remote code execution via API [CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H]
Was bedeutet das?
Neben dem eigentlichen Vektor wird auch die Lücke selbst beschrieben. Häufig ist das relativ allgemein gehalten.
CVSS:3.0– der CVSS-Standard zur Beschreibung der LückeAV:N– Der Angriffsvector (Attack Vector), wie die Sicherheitslücke ausgenutzt wird. Möglich sind hier Network, Adjacent (Teil des Netzwerkstacks), Local oder Physical.ÀC:L– Wie komplex ist es, die Lücke auszunutzen? Hier sind die Werte Low oder High möglich.PR:N– Privileges Required – Welche Rechte muss der Angreifer besitzen, um die Lücke auszunutzen. Möglich hier sind None, Low oder High.UI:N– User Interaction – Muss ein User (nicht der Angreifer) Aktionen ausführen? Möglich sind None oder Required.S:C– Scope – Werden nicht verwundbare Komponenten durch die Lücke betroffen? Möglich sind Uchanged oder Changed.C:H– Confidentiality – Wie Vertraulich sind die Daten, die von der Komponente verwaltet werden? Möglich hier sind None, Low oder High.I:H– Integrity – Ist das System nach der erfolgreichen Attacke noch vertrauenswürdig oder wurde das System nachhaltig beschädigt? Möglich hier sind None, Low oder High.À:H– Availability – Wie häufig anzutreffen sind die betroffenen Systeme? Möglich hier sind None, Low oder High.
Was sagt das für das Beispiel aus?
Die Lücke APPSEC-1420 lässt sich also über das Netzwerk ausnutzen, die Ausnutzung ist recht einfach, es werden keinerlei Berechtigungen benötigt, Benutzer müssen nicht mit dem Angreifer zur Ausführung interagieren, die Integrität des Systems wird beeinträchtigt, wichtige Daten können abgegriffen werden, es gibt viele betroffene Systeme. Somit ergibt sich ein desaströser Wert von 10,0. Aufgrund der Schwere liegt auch schon ein Update für Magento vor, das zeitnah eingespielt werden muss.
