Le Patch Tuesday de mars 2022 de Microsoft incluait 3 vulnérabilités zero-day et plus de 70 vulnérabilités corrigées. Le rapport mensuel propose des correctifs pour des vulnérabilités d’exécution de code à distance déjà rendues publiques. Les utilisateurs y trouvent facilement une liste des vulnérabilités Zero-day corrigées, y compris les noms de code des vulnérabilités, leur description, la manière de les résoudre, et leur score CVSS. Ce dernier est inclus dans plusieurs rapports de cyberattaques, mais beaucoup ne comprennent pas sa signification, ni sa criticité.

Alors, qu’est-ce que le CVSS ? Pourquoi est-il important ? Et comment hiérarchiser les vulnérabilités en fonction de leur score ?

CVSS est une norme industrielle libre et ouverte pour évaluer la gravité des vulnérabilités de sécurité des systèmes informatiques. Il crée un score numérique pour classer les vulnérabilités en fonction de leur importance. Les organisations peuvent classer leurs vulnérabilités par ordre de priorité selon que le risque est faible, moyen ou élevé.

Comment fonctionne le CVSS ?

Les vulnérabilités sont des failles dans les contrôles internes, les systèmes d’information ou les processus d’une organisation que les cybercriminels peuvent exploiter pour voler des données d’entreprise et causer des dommages. Les entreprises ont signalé 18 439 vulnérabilités en 2021. En 2020, ce nombre était de 18 103, dont 10 342 de haute gravité, selon une analyse de la base de données nationale sur les vulnérabilités du National Institute of Standards and Technology (NIST) des États-Unis.

Pour assurer la sécurité des systèmes, les organisations doivent identifier, classer par ordre de priorité et remédier à ces vulnérabilités le plus rapidement possible. Cette tâche est rendue complexe par le nombre important de failles que les organisations ont à gérer. Le CVSS fournit aux développeurs de logiciels, aux testeurs, aux professionnels de la sécurité et de l’informatique un cadre open source et un processus standardisé pour évaluer les vulnérabilités. Les organisations peuvent utiliser le CVSS pour déterminer le niveau de menace d’une vulnérabilité, et puis déterminer le choix de remédiation à prioriser.

Le Forum of Incident Response and Security Teams (FIRST), organisme à but non lucratif, possède et gère le CVSS. De nombreuses organisations ont adopté le CVSS, notamment le département de la sécurité intérieure des États-Unis, l’équipe d’intervention d’urgence informatique des États-Unis, Amazon, Cisco, HP, Huawei, IBM, McAfee, Oracle, Qualys et SAP.

Comment les organisations calculent le score CVSS

Les organisations calculent les scores CVSS sur la base de métriques qui sont classées en trois groupes. Ces groupes de métriques comprennent :

1- Le Groupe de Métriques de Base

Ce groupe représente les caractéristiques inhérentes à une vulnérabilité, c’est-à-dire celles qui ne changent pas au fil du temps ou en fonction de l’environnement des utilisateurs. Les organisations utilisent le Score de Base CVSS comme une mesure clé pour détecter la gravité des vulnérabilités. Cela leur permet d’évaluer l’impact des vulnérabilités sur leurs systèmes et de donner la priorité à celles qui doivent être corrigées en premier.

Le Groupe de Métriques de Base contient plusieurs métriques qui, ensemble, créent un Score de Base CVSS. Ces métriques comprennent les Exploitability Metrics, les Impact Metrics, et les Scope Metrics.

Le premier groupe, Exploitability Metrics, indique le niveau de facilité avec laquelle un acteur malveillant peut exploiter une vulnérabilité. Il définit quatre métriques d’exploitation spécifiques :

* Le vecteur d’attaque définit le niveau d’accès physique ou réseau dont un cybercriminel a besoin pour l’exploitation.
* La complexité de l’attaque fait référence aux conditions permettant à un cybercriminel d’exploiter une vulnérabilité.
* Le privilège requis est le niveau de privilège système nécessaire pour exploiter une vulnérabilité.
* L’interaction avec l’utilisateur indique l’action que doit effectuer un utilisateur, par exemple installer une application, pour que le cybercriminel soit en mesure d’exploiter une vulnérabilité.

Le deuxième groupe, les Impact Metrics, quant à lui, se concentre sur ce qu’un cybercriminel peut réaliser en exploitant une vulnérabilité. Trois métriques sont incluses dans ce groupe : la confidentialité, l’intégrité et la disponibilité. Alors que la « métrique d’intégrité » montre si les données protégées ont été altérées ou modifiées, et que la « métrique de disponibilité » présente la capacité à refuser le service aux utilisateurs et à leurs données, la « métrique de confidentialité » fait référence au volume de données accessibles dont dispose un cybercriminel après l’infiltration. En effet, les vulnérabilités qui exposent des groupes de données à l’échelle du système sont classées plus hautes que celles qui compromettent des ressources locales et en silos.

Enfin, le troisième groupe, les Scope Metrics, évalue si une vulnérabilité dans un système ou un composant affecte un autre système ou composant.

Les mesures de base produisent un score compris entre 0 (le niveau de risque le plus faible) et 10 (le niveau de risque le plus élevé). Les organisations peuvent modifier les métriques de base en notant les métriques temporelles et environnementales.

2- Groupe de Métriques Temporelles

Les métriques temporelles évoluent dans le temps, mesurant l’état actuel d’une vulnérabilité et la disponibilité des correctifs. Les trois métriques de ce groupe comprennent : la maturité du code d’exploitation, le niveau de remédiation et la confiance des rapports.

La première métrique, « Exploit code maturity« , ou la maturité du code d’exploitation, mesure la difficulté pour un cybercriminel à exploiter une vulnérabilité. La métrique « Remediation level », ou le niveau de remédiation, quant à elle, évalue l’existence d’un patch ou d’une solution pour limiter l’effet de la vulnérabilité. Enfin, la métrique « Report confidence« , ou la confiance des rapports, calcule la confiance des sources indiquant l’existence d’une vulnérabilité et son exploitabilité.

3- Groupe de Métriques Environnementales

Les métriques environnementales permettent de modifier les métriques CVSS de base en fonction de facteurs commerciaux spécifiques, qui pourraient affecter la gravité d’une vulnérabilité.

Les métriques CVSS de base, modifiées, sont le premier atout de ce groupe. Les organisations peuvent modifier les valeurs des métriques de base en employant des contrôles compensatoires ou des mesures d’atténuation pour réduire l’exploitabilité d’une vulnérabilité.

Le deuxième actif est constitué par les Exigences de sécurité : elles décrivent et notent un actif en fonction de son importance pour l’organisation, en termes de confidentialité – la capacité à cacher les données aux utilisateurs non autorisés, d’intégrité – la capacité à garantir l’originalité des données, et de disponibilité – l’accessibilité des données aux utilisateurs autorisés en cas de besoin. Plus l’actif est critique, plus le score est élevé.

Aller au-delà du CVSS

Malgré tous les bénéfices du CVSS, les organisations qui n’utilisent que ce score pour la gestion des patches s’exposent à un risque. Ce score ne reflète pas la capacité d’un cybercriminel à exploiter la vulnérabilité dans le monde réel ou à poser un risque pour la sécurité de l’organisation.

Pour garantir l’efficacité de leur posture de sécurité, les équipes doivent évaluer les vulnérabilités concrètes de l’entreprise, ainsi que les risques pour les systèmes informatiques et opérationnels, puis utiliser ces données pour hiérarchiser les efforts d’atténuation. Adopter une approche basée sur les risques pour la gestion des vulnérabilités permet aux équipes de se concentrer sur les failles et les actifs les plus critiques, plutôt que de passer du temps sur des vulnérabilités ayant moins de chances d’être exploitées.

CVSS est-il lié à CVE ?

CVSS et CVE sont des normes complémentaires, mais pas directement liées. Le programme Common Vulnerabilities and Exposures (CVE) catalogue avec des identifiants uniques les vulnérabilités et les risques déjà rendus publiques. Le CVE fournit des identificateurs communs pour les failles connues, mais pas de notation de gravité ou de classement par ordre de priorité. Pour pallier ce manque, la National Vulnerability Database, une base de données du gouvernement américain sur les vulnérabilités basées sur des standards, attribue ainsi à chaque CVE un score CVSS indiquant sa gravité en matière de sécurité.

Par exemple, parmi les vulnérabilités relevées par le Patch Tuesday de mars 2022, la CVE-2022-23277 a attiré l’attention des experts en cybersécurité. Identifiée comme une vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server, elle affecte toutes les versions supportées du serveur, et a reçu un score CVSS de 8,8 sur 10. En raison de sa criticité, les administrateurs de Microsoft Exchange ont tout intérêt à se concentrer en priorité sur la correction de cette vulnérabilité.
___________________

Par Laurie Mercer, Sales Engineering Manager chez HackerOne

À lire également :

> Hacking éthique : Quatre idées reçues sur les plateformes de bug bounty

> L’armée US recrute l’armée d’HackerOne pour chasser les vulnérabilités

> Malware EMOTET : Comment s’en protéger ?

> Comment sécuriser les accès des développeurs et le code ?

> Les 4 grandes priorités des responsables infrastructures et sécurité réseaux en 2022.