Schwachstellenbewertung: Opensource-Entwickler erneuert Kritik an CVSS und CVE
cURL-Entwickler Daniel Stenberg stört, dass seine CVE-Einträge eigenmächtig von der CISA mit CVSS-Scores versehen werden. Er hat plausible Argumente.
(Bild: Gorodenkoff/Shutterstock.com)
Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, hat in einem Blogeintrag einmal mehr das CVE-Ă–kosystem (Common Vulnerabilities and Exposures) kritisiert. Im Fokus seiner aktuellen Kritik: das mit CVE eng verknĂĽpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System).
Nach Stenbergs Meinung birgt der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen. Diese Gefahr werde allerdings noch dadurch verschärft, dass speziell autorisierte Instanzen wie die US-Behörde CISA beliebige bestehende CVEs um eigene Punkteberechnungen ergänzen können.
In der Vergangenheit war die nachträgliche "Anreicherung" von CVE-Einträgen um fehlende Zusatzinformationen wie CVSS-Scores Aufgabe der NVD (National Vulnerabbility Database). Nach einem massiven Rückstau unbearbeiteter CVEs übernimmt dies seit letztem Jahr jedoch primär die US-Cybersicherheitsbehörde CISA. In einem GitHub-Repository zum sogenannten "Vulnrichment-Projekt" vervollständigt sie systematisch sämtliche liegengebliebenen, aber auch neuen Einträge.
Absage an CVSS
Stenberg protestierte bereits im September vergangenen Jahres öffentlich gegen einen seiner Ansicht nach falschen CVE-Eintrag. Auch grundsätzliche CVSS-Kritik äußerte er schon in früheren Blogeinträgen.
In einem neuen Post mit dem dramatischen Titel "CVSS is dead to us" (etwa: "Mit CVSS sind wir durch") setzt der Entwickler auseinander, dass das cURL-Team bereits seit Jahren ein eigenes, abgespecktes Bewertungssystem auf Basis von vier möglichen Schweregraden nutze.
Aus seiner Sicht eignen sich die CVSS-Bewertungskriterien höchstens dann für die akkurate Einstufung, wenn man ganz genau wisse, wann und wie das betreffende Hard- oder Softwareprodukt verwendet werde und wie ein Exploit es beeinflusse. Für ein Projekt wie cURL, das milliardenfach in völlig unterschiedlichen Anwendungsszenarien und Umgebungen zum Einsatz komme, funktioniere das schlicht nicht.
Aufgezwungene Scores
Anders als von Stenberg zunächst im Blogeintrag formuliert, ist das Hinzufügen eines CVSS-Punktwerts zu CVEs jedoch keineswegs verpflichtend. Und so stünde es dem cURL-Team in seiner Rolle als CNA (CVE Numbering Authority) durchaus frei, in den von ihm selbst angelegten Einträgen einfach auf diese Information zu verzichten.
Das Problem ist, dass die CISA diesen ganz bewussten Verzicht offenbar nicht respektiert. Denn die Behörde betrachtet es als ihre Aufgabe, aus ihrer Sicht "unvollständige" Einträge in der CVE-Datenbank stets zu vervollständigen. In ihrer Rolle als Authorized Data Publisher (ADP) darf sie das ohne Rücksprache mit den CNAs innerhalb fest definierter Daten-Container tun – und tut es auch mit den cURL-CVEs.
Scheinbar willkĂĽrliches Auf und Ab
Der dem Vulnrichment-Team zur Verfügung stehende Zeitrahmen pro CVE dürfte angesichts des stetig wachsenen Schwachstellenaufkommens stark begrenzt sein – ebenso wie der Einblick des Teams in die spezifischen technischen Details jeder einzelnen Lücke.
Stenberg sieht hier eine hohe Gefahr für resultierende Berechnungsfehler und nennt als konkretes Beispiel die cURL-Schwachstelle CVE-2024-11053 von Ende vergangenen Jahres. Während diese vom cURL-Team selbst nach dem eigenen System als "Low" eingestuft worden sei, habe die CISA sie offenbar für brandgefährlich erachtet und dem CVE-Eintrag nachträglich einen CVSS-Base-Score von 9.1 ("critical") hinzugefügt. Nach Stenbergs Protest habe die Behörde den betreffenden Score dann aber wieder drastisch gesenkt – und zwar auf 3.4 ("low").
Für Stenberg ist dieser Vorgang ein Indiz für die Zufälligkeit und Willkürlichkeit der berechneten Punktzahlen. Und für die Überforderung von ADPs, die die Bewertungen quasi im Akkord und ohne tieferen Einblick in die technischen Details im CVSS-Rechner "zusammenklicken".
Eine Lösung für das Problem sieht der Entwickler derzeit nicht: Da das cURL-Team "den CVSS-Tanz nicht mittanze", werde es weiterhin nicht von solcherlei Fehleinschätzungen verschont bleiben.
Gemischte Community-Reaktionen
Die Reaktionen auf Stenbergs Post reichen von Zustimmung bis hin zu verhaltener Kritik. So bestätigte ein Mitglied des IT-Sicherheitsteams der Sprache Go, dass man auch dort negative Erfahrungen mit CISAs "Enrichment" gemacht habe.
Andere Stimmen wiederum halten zumindest die grundsätzliche Kritik an CVSS für überzogen. Ein Kommentierender betont etwa, dass das Potenzial der Schwachstellenbewertung selten voll ausgeschöpft werde. Schließlich beinhalte sie ja neben dem omnipräsenten CVSS Base Score durchaus auch noch Anpassungsmöglichkeiten an zeitliche Veränderungen (Temporal Metrics) oder an die jeweilige Umgebung des betroffenen Systems (Environmental Metrics). Diese würden schlicht zu selten genutzt. Ein anderer pflichtet bei – und schlägt vor, die Funktion des Base-Scores als Fundament statt als abschließendes Urteil generell besser zu kommunizieren.
(ovw)