Vakavuusasteikot – mitä skannausraportin lukijan tulee tietää

Juha-Matti Laurio

Lokakuu 28, 2014 at 10:30

Haavoittuvuusmaailman lyhenteitä käsitellessämme olemme kertoneet haavoittuvuuksien vakavuusluokituksista. Nixun tuottamissa raporteissa käytetty vakavuusasteikko on neliportainen ja luokat vakavimmasta lähtien ovat:

High eli Vakava
Luokituksen värisymboli on punainen.

Medium eli Kohtalainen
Luokituksen värisymboli on oranssi.

Low eli Vähäinen
Luokituksen värisymboli on keltainen.

Info eli Info/Hyväksytty
Luokituksen värisymboli on vihreä.


Sellaisissa yhteyksissä joissa haavoittuvuuden CVSS-arvo on kerrottu, käsittelimme luokitusmenetelmää kuun puolivälissä tässä blogikirjoituksessa, määrää CVSS-arvo vakavuusluokan. CVSS-arvon mukaan haavoittuvuudet luokitellaan raporteissa seuraavasti:

Arvo välillä 10,0 – 7,0 => haavoittuvuus luokitellaan vakavaksi

Arvo välillä 6,9 – 4,0  => haavoittuvuus luokitellaan kohtalaiseksi

Arvo välillä 3,9 – 0,1 => haavoittuvuus luokitellaan vähäiseksi

Arvo 0 (tai 0,0) => haavoittuvuus luokitellaan hyväksytyksi

PCI-maksukorttistandardin alaisissa ASV-skannauksissa (PCI Approved Scanning Vendor) tärkeä raja on CVSS-arvo 4,0. Mikäli skannauskohteessa on haavoittuvuus jonka arvo on tasan 4 tai korkeampi ei se läpäise skannausta. Muistisääntönä voidaan siis pitää, että skannauskohteissa ei saa olla kohtalaisia (Medium) tai vakavia (High) haavoittuvuuksia.

Pelkästään vakavuusluokitus ei voi kuitenkaan toimia perusteena kun määritellään haavoittuvuuden korjaamisen kiireellisyyttä.

Vähäisiksi luokiteltujen eli matalan tason haavoittuvuuksiin liittyen lukemisen arvoinen on Chris Gatesin mielenkiintoinen julkaisu (98 sivua, pdf) From Low to Pwned. Gates kertoo lukuisia esimerkkejä ja listaa riskejä ja hyödyntämistapoja Low-kategorian haavoittuvuuksiin. Esimerkiksi Internetiin auki olevaan ylläpitokäyttöliittymään saatetaan suhtautua matalan tason löydöksenä siten ettei esim. IP-osoitekohtaista rajausta lähdetä käyttöliittymään tekemään. Kun haavoittuvuus jätetään huomiotta tarjoaa se kuitenkin potentiaalisen hyökkäysreitin.