Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS

Inhaltsverzeichnis

Beim Common Vulnerability Scoring System (CVSS) geht es hauptsächlich darum, die Gefahr zu bewerten, die von einer Sicherheitslücke ausgeht. In einigen Fällen geht das recht leicht. Bei der Ende 2019 als "Shitrix" bekannt gewordenen Schwachstelle in Citrix-Produkten konnten unauthentifizierte Angreifer betroffene Systeme aus der Ferne angreifen und mit nur wenig Aufwand unter ihre Kontrolle bringen (CVE 2019-19781). Im Laufe des Jahres 2020 wurden über Shitrix zahlreiche Systeme infiziert und mit Backdoors versehen. Diese wurden anschließend vielfach zum Einschleusen von Ransomware verwendet. Im Falle der Universitätsklinik Düsseldorf etwa forderte die Ransomware "DoppelPaymer" ein Lösegeld. Es liegt auf der Hand, dass Shitrix eine "kritische" Lücke ist.

Die Sachlage ist jedoch nicht immer so eindeutig. Der 2014 bekannt gewordenen POODLE-Angriff auf HTTPS-Verschlüsselung, nutzte sehr trickreich Schwächen im SSL-Protokoll und sorgte für viel Aufsehen (CVE-2014-3566). Doch so genial der Angriff in der Theorie war, so schwierig war dann die Ausführung unter realen Bedingungen: Der Aufwand war hoch und der Schaden beschränkte sich auf das Byte-weise Auslesen von Daten aus den Browsern einzelner Nutzer. Gefühlt ist POODLE also deutlich weniger gefährlich Shitrix. Doch wie lässt sich dieses Bauchgefühl quantifizieren?

Risiko = Eintrittswahrscheinlichkeit x Schaden

Bei der systematischen Bewertung von Schwachstellen macht man sich das allgemeine Prinzip der Risikoanalyse zunutze. Dabei identifiziert man Schadensereignisse und schätzt ab, wie wahrscheinlich diese Ereignisse eintreten und wie hoch die daraus resultierenden Schäden sein könnten. In der Praxis lassen solche Einschätzungen jedoch viel Interpretationsspielraum zu.

Systeme zur Schwachstellenbewertung helfen mit vordefinierten Faktoren, Wahrscheinlichkeit und Schadensausmaß möglichst objektiv zu beziffern. Ein solches System ist das Common Vulnerability Scoring System (CVSS), das sich international zunehmend als De-facto-Standard etabliert, um wesentliche Merkmale einer Schwachstelle zu beschreiben und deren Schweregrad zu bestimmen.

Die Anfänge von CVSS reichen bis ins Jahr 2005 zurück, als das US National Infrastructure Advisory Council (NIAC) eine erste Entwurfsfassung veröffentlichte. Die Verantwortung für CVSS ging seitdem an das Forum of Incident Response and Security Teams (FIRST) über, ein Zusammenschluss internationaler Sicherheits- und Incident-Response-Teams aus Regierungen, Industrie und Wissenschaft. Bei FIRST kümmert sich seitdem die CVSS Special Interest Group (SIG) um die Weiterentwicklung von CVSS. Die heute gültige Version 3.1 stammt aus dem Jahr 2019.

Metriken zur differenzierten Bewertung

Die Bewertung von Schwachstellen erfolgt bei CVSS anhand verschiedener Kriterien, sogenannter Metriken. Für jede Metrik gibt es vordefinierte Wahlmöglichkeiten. Aus denen errechnet sich ein Schweregrad von 0.0 bis 10.0, wobei 10.0 dem höchsten Schweregrad entspricht. Diesen Zahlenwerten werden anschließend die auch aus Schwachstellen-Meldungen bekannten qualitativen Kategorien ("None", "Low", "Medium", "High" und "Critical") zugeordnet.

Die Metriken zur Bestimmung des Schweregrads sind dabei in drei Gruppen unterteilt: Base Metrics, Temporal Metrics und Environmental Metrics. Basis-Metriken (Base Metrics) beschreiben die wesentlichen technischen und unveränderlichen Merkmale einer Schwachstelle. Aus ihnen lässt sich ein sogenannter "Base Score" errechnen, der für den technischen Schweregrad einer Schwachstelle steht. Er kann später nachjustiert und an zeitliche Veränderungen (Temporal Metrics) oder die jeweilige Umgebung des betroffenen Systems (Environmental Metrics) angepasst werden.

Den Base Score einer Schwachstelle errechnet in der Regel deren Entdecker oder aber der Hersteller des betroffenen Produkts beziehungsweise ein CERT, das die Behebung der Schwachstelle koordiniert.

Für Schwachstellen in öffentlichen Standard-Produkten wird meist auch eine CVE-ID als eindeutige Schwachstellenbezeichung im Format CVE-YYYY-NNNNN beantragt beziehungsweise vergeben. Viele Leser von Schwachstellen-Meldungen dürften das CVE-System, dem wir einen separaten Hintergrundartikel gewidmet haben, und CVSS bisher als untrennbare Einheit wahrgenommen haben. In Wirklichkeit sind CVE und CVSS jedoch zwei völlig voneinander unabhängige Systeme: Eine CVE-ID ist keine zwingende Voraussetzung zur CVSS-Verwendung. Während CVE das Ziel verfolgt, Schwachstellen eindeutige Bezeichner zuzuweisen und zu verwalten, möchte CVSS den Schwachstellen einen Schweregrad zuteilen.