Blog HackRTU

‹ Regresar

CVSS, EL ESTÁNDAR REFERENTE PARA LA VALORACIÓN DEL IMPACTO EN VULNERABILIDADES

 

CNA

 

 

El Common Vulnerability Scoring System o CVSS es un estándar abierto desarrollado por la organización FIRST (Forum of Incident Response and Security Teams).

El objetivo principal del estándar es proporcionar de forma estructura, coherente y cuantificable el impacto de las vulnerabilidades utilizando las características principales de una vulnerabilidad y encapsulándolas en una puntuación numérica (desde el 0 como vulnerabilidad sin impacto al 10 como amenaza crítica), reflejando la gravedad y en una representación textual que luego puede traducirse a una representación cualitativa (como vulnerabilidad baja, media, alta o crítica).

Este estándar permite a equipos de ciberseguridad, desarrolladores, proveedores, responsables de negocio o a cualquier persona conocer el valor numérico de amenaza que posee la vulnerabilidad.

 

HISTORIA DEL CVSS

En el año 2005, FIRST publicó la primera versión del estándar, el CVSS 1.0 como punto de partida para ayudar a identificar el impacto de las vulnerabilidades. Esta primera versión contaba con pocos aspectos técnicos y por ello, en el año 2007 se publicó la versión CVSS 2.0 en la que se incluían muchos más conceptos técnicos, pero todavía sin tener la exactitud requerida para un estándar de esta categoría e importancia.

Entre los años 2015 y 2019, FIRST publicó las versiones CVSS 3.x, mucho más precisas y cuyo resultado final ha sido la publicación del CVSS 4.0 en noviembre del año 2023.

 

CVSS 4.0 – LA NUEVA REALIDAD

Desde su publicación a finales del año 2023, la nueva versión del estándar es la más utilizada debido a sus nuevas implementaciones y mejoras en cuanto al contexto de la vulnerabilidad. En las versiones anteriores no se tenían en cuenta aspecto como el cómo, dónde y con que facilidad puede explotarse la vulnerabilidad.

A continuación, se listan estos pequeños cambios pero que suponen un gran avance en la categorización del impacto de las vulnerabilidades:

• Mayor precisión en el contexto del ataque:
  • Se separan la complejidad técnica del ataque y los requisitos del entorno.
  • Se implementan mejoras para el análisis de vulnerabilidad en entornos OT e IoT.
• Mejora en el sistema de categorización de la implicación del usuario sobre la explotación de la vulnerabilidad.
  • Diferenciación entre interacción activa y pasiva del usuario.
• Nuevas métricas para proporcionar conocimiento sobre si la vulnerabilidad esta siendo explotada activamente o no.
• Nuevas métricas “ambientales” para determinar y ajustar el riesgo según el entorno específico.
• Inclusión de las nuevas métricas complementarias entre las que se incluyen el impacto físico de la vulnerabilidad, si es posible automatizar el ataque, como de urgente puede ser para el proveedor, cuanto tiempo tardaría el sistema en recuperarse, etc.
• Cuatro tipos nuevos de puntuación para proporcionar mayor exactitud:
  • CVSS-B: Solo métricas base.
  • CVSS-BT: Métricas base más amenaza.
  • CVSS-BE: Métricas base más entorno.
  • CVSS-BTE: Métricas base más amenaza más entorno.

Todos estos cambios posibilitan a tanto investigadores de ciberseguridad, proveedores, responsables de ciberseguridad o de negocio categorizar de forma más precisa como afectará la vulnerabilidad a sus sistemas, y en el caso del mundo industrial, determinar si por ejemplo podría tener una afectación física sobre los trabajadores o el tiempo necesario para recuperar el sistema tras la explotación de la vulnerabilidad.

 

EJEMPLO CVSS 4.0

En este caso, y para dar un contexto de los diferentes campos que tiene el CVSS, utilizaremos la vulnerabilidad CVE-2025-41362 detectada por uno de nuestros investigadores.

Antes de calcular el valor y explicar los motivos técnicos del resultado, hay que destacar que esta vulnerabilidad se trata de una inyección de código tanto en el IDF v0.10.0-0C03-03 como en el ZLF v0.10.0-0C03-04 y con CWE-94 (Code Injection) lo que permitiría a un atacante almacenar una carga maliciosa en el software para posteriormente ejecutarse en el navegador de la víctima. Además, para la explotación de esta vulnerabilidad, es necesario autenticarse en el dispositivo y ejecutar ciertos comandos que pueden ejecutarse con permisos de visualización sin requerir de administrador.

Dado que la vulnerabilidad fue descubierta durante el análisis del dispositivo (más información sobre el servicio aquí) en un entorno de laboratorio, las métricas “ambientales” y suplementarias no fueron determinadas a la hora de calcular el CVSS y únicamente se calculó el CVSS-Base (CVSS-B) resultando con un valor de 5.3 o lo que es lo mismo una criticidad MEDIA.

El vector resultante que resume y computa todas las métricas introducidas sería: CVSS-B:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N (5,3-Medium).

• Métricas de explotabilidad:
  • Vector de ataque (AV): Esta métrica refleja el contexto en el que el ataque puede ser explotado. En este caso con resultado Red (N) ya que la vulnerabilidad podría explotarse de forma remota si el atacante quisiera.
  • Complejidad del ataque (AC): Métrica que indica como de difícil es para un atacante evadir las medidas defensivas impuestas con el fin de obtener un exploit funcional. En el caso del CVE-2025-41362, la complejidad es Baja (L) ya que no fue necesario evadir ningún tipo de defensa.
  • Requisitos de ataque (AT): Esta métrica comprende las condiciones o variables necesarias previas a realizar el ataque. Al igual que en el caso anterior, el ataque no dependió de realizar ninguna acción previa a la explotación de la vulnerabilidad por lo que el resultado es Ninguno (N).
  • Privilegios requeridos (PR): Describe el nivel de privilegios que debe poseer el atacante antes de explotar con éxito la vulnerabilidad. Para la vulnerabilidad CVE-2025-41362 y tal y como se indicó anteriormente, no eran necesarios permisos de administrador, únicamente permisos de visualización, por lo tanto, los privilegios requeridos son Bajo (L).
  • Interacción del usuario (UI): Permite valorar el requisito de que un usuario humano, distinto al atacante, participe en la vulneración exitosa del sistema vulnerable. Para la explotación de la vulnerabilidad CVE-2025-41362 no se requiere ninguna acción por parte del usuario, Ninguno (N).
• Métricas de impacto de sistemas vulnerables:
  • Confidencialidad (VC): Impacto Bajo (L) ya que existe una cierta pérdida de la confidencialidad y el atacante puede tener acceso a datos e información restringida.
  • Integridad (VI): Impacto también Bajo (L) ya que el atacante puede modificar datos, pero no tiene el control sobre las consecuencias de la modificación.
  • Disponibilidad (VA): En el caso de la vulnerabilidad CVE-2025-41362 no hay impacto (Ninguno (N)) en la disponibilidad ya que el sistema continuaba operativo tras la explotación del CVE. 
• Métricas de impacto de sistemas posteriores: En este caso no hay ningún tipo de afectación ya que la vulnerabilidad no afectaba a los sistemas posteriores al sistema vulnerado.

Si el equipo analizado se encontrase dentro de un sistema, se podrían aplicar las métricas de “ambiente” y las complementarias proporcionando al responsable del equipo y al proveedor, el riesgo de explotación de la vulnerabilidad en base a las nuevas métricas habilitadas por el vector CVSS 4.0.

 

IVSS, UN SISTEMA DE PUNTUACIÓN DE VULNERABILIDADES ESPECÍFICO ENTORNO INDUSTRIALES

Aunque el CVSS es el estándar por excelencia para el cálculo del impacto y criticidad de las vulnerabilidades, en la actualidad existen otros sistemas de puntuación específicos para algunos dispositivos y entornos como el entorno industrial.

Concretamente para los dispositivos y sistemas industriales existe el Industrial Vulnerability Scoring System (IVSS), un derivado del CVSS creado ThreatGEN and LOGIIC. El IVSS esta específicamente diseñado para las vulnerabilidades de los sistemas de control industrial (ICS) ya que el CVSS se focaliza en la confidencialidad, integridad y disponibilidad (CIA) para los sistemas informáticos, dispositivos y redes. En cambio, el IVSS, tiene en cuenta aspectos como la afectación de las vulnerabilidades en el control, visualización y monitorización de los procesos industriales, así como el impacto en la producción, seguridad y precisión de los sistemas industriales.

Aunque la puntuación base del IVSS utilice los mismos puntos del “Base Score” que el CVSS, en las condiciones “ambientales” y de entorno, es donde se aplican los nuevos conceptos basados en los sistemas industriales llegando incluso a tener en cuenta aspectos como la segmentación de red en base a la IEC 62443 3-3. En la siguiente imagen se puede ver la valoración de la vulnerabilidad CVE-2025-41362 analizada anteriormente con el CVSS y los parámetros del mundo industrial que complementarían a ese resultado base.

Desde HackRTU, creemos que el uso de herramientas y estándares específicos permite un mejor análisis de vulnerabilidades y aunque en ciertos casos, como cuando se identifican vulnerabilidades en un entorno de laboratorio existen una limitación a la hora de calcular la criticidad y riesgo que puede presentar la vulnerabilidad, siempre hay que contextualizar la vulnerabilidad dentro del entorno industrial donde reside el activo o sistema afectado tenido en cuenta factores como la arquitectura, criticidad de los activos colaterales conectados o el efecto cascada que podría producirse si se explota la vulnerabilidad.

 

 

EQUIPO DE HACKRTU