Análisis Detallado de los Cambios y Novedades en CVSS v4
El Sistema Común de Puntuación de Vulnerabilidades (CVSS) ha sido actualizado a la versión 4.0, introduciendo varios cambios significativos con el objetivo de mejorar la precisión y aplicabilidad de las evaluaciones de vulnerabilidades. Aquí tienes un análisis detallado de los principales cambios y novedades respecto a CVSS v4.
Principales Cambios en CVSS v4
- Nomenclatura y Grupos de Métricas:
- Nuevos Términos: CVSS v4 introduce una nueva nomenclatura para reflejar mejor las métricas utilizadas en el cálculo de puntuaciones:
- CVSS-B: Solo puntuación base.
- CVSS-BT: Base + Puntuación de Amenaza.
- CVSS-BE: Base + Puntuación Ambiental.
- CVSS-BTE: Base + Amenaza + Puntuación Ambiental.
- Retiro de la Métrica de Alcance: La métrica de Alcance ha sido retirada debido a su uso inconsistente, reemplazada por métricas de impacto detalladas tanto para los sistemas vulnerables como para los sistemas subsiguientes FIRST Forum Red Hat Blog.
- Nuevos Términos: CVSS v4 introduce una nueva nomenclatura para reflejar mejor las métricas utilizadas en el cálculo de puntuaciones:
- Actualizaciones de Métricas Base:
- Requisitos de Ataque (AR): Una nueva métrica que proporciona mayor granularidad que la métrica anterior de Complejidad del Ataque (AC), capturando las condiciones previas necesarias para un ataque.
- Interacción del Usuario (UI): Anteriormente una métrica binaria, UI ahora incluye niveles de interacción Pasiva y Activa, añadiendo más detalles sobre la cantidad de participación del usuario requerida FIRST Forum FIRST Forum.
- Métricas de Amenaza (anteriormente Métricas Temporales):
- Renombradas y Ampliadas: Las Métricas Temporales ahora se llaman Métricas de Amenaza, incluyendo valores como No Definido, Atacado, Prueba de Concepto y No Reportado, proporcionando una imagen más clara de la probabilidad de un ataque Red Hat Blog.
- Métricas Ambientales:
- Métrica de Seguridad: Una nueva métrica que evalúa el impacto en la seguridad humana si una vulnerabilidad es explotada, especialmente útil para entornos OT y IoT.
- Automatizable, Urgencia del Proveedor, Recuperación y Densidad de Valor: Nuevas métricas opcionales que permiten una evaluación más matizada de las vulnerabilidades, considerando factores como el potencial de explotación automatizada, la urgencia de la remediación, la capacidad de recuperación del sistema y la densidad de recursos valiosos en riesgo FIRST Forum FIRST Forum.
- Métricas Suplementarias:
- Opcionales pero Valiosas: Estas incluyen métricas como Seguridad, Automatizable y Recuperación, que pueden influir significativamente en el proceso de evaluación de riesgos al agregar contexto a la vulnerabilidad más allá de su severidad técnica Red Hat Blog FIRST Forum.
Hoja de Ruta Oficial de CVSS v4
CVSS v4 fue publicado oficialmente el 1 de noviembre de 2023, después de un extenso período de vista previa pública y retroalimentación. La hoja de ruta para CVSS v4 incluye varios hitos clave:
- Vista Previa Inicial y Retroalimentación: La primera vista previa de CVSS v4 se presentó en la 35ª Conferencia Anual de FIRST en junio de 2023. Esto fue seguido por un período de comentarios públicos de dos mesesFIRST Forum.
- Lanzamiento de la Especificación Final: Después de abordar los comentarios del público, la especificación final de CVSS v4 fue publicada en noviembre de 2023Red Hat Blog FIRST Forum.
Adopción de CVSS v4 por Proyectos y Herramientas de Seguridad Líderes
| Herramienta/Proyecto | Estado de Adopción de CVSS v4 | Comentarios | Fuente |
|---|---|---|---|
| Qualys | Planeado | La puntuación de CVSS v4 se integrará en Qualys VMDR, con adopción esperada por parte del proveedor a partir del Q1 2024. | Qualys Security Blog |
| Tenable (Nessus) | En Progreso | Tenable utiliza y muestra puntuaciones CVSS y ha comenzado a incorporar CVSS v4 en sus evaluaciones de vulnerabilidad. | Tenable Documentation |
| Rapid7 | En Progreso | Resaltó mejoras significativas; enfatizando métricas más precisas y uso práctico para los usuarios finales. | Rapid7 Blog |
| Juniper | Adoptado | Publicación de puntuaciones CVSS v3.1 y v4.0 en avisos de seguridad a partir de enero de 2024. | Juniper Support Portal |
| CyberInt | En Revisión | Visión general detallada de los cambios en CVSS v4 y actualizaciones planeadas; enfoque en OT, ICS e IoT. | CyberInt Blog |
| Dradis | Adoptado | Dradis Framework soporta CVSS v4 junto con v3.0 y v3.1, permitiendo a los usuarios alternar entre versiones. | Dradis Framework |
| Burp Suite | Planeado | Actualmente soporta CVSS v2 y v3; planes para integrar CVSS v4 en futuras actualizaciones. | PortSwigger |
| OpenVAS | Planeado | OpenVAS, parte de Greenbone Vulnerability Management, planea incorporar CVSS v4 en futuras versiones. | Greenbone |
| Metasploit | En Revisión | El equipo de Metasploit está evaluando CVSS v4 para su posible integración en su framework. | Metasploit |
| OWASP ZAP | En Progreso | OWASP ZAP está trabajando activamente en integrar la puntuación CVSS v4 en su herramienta. | OWASP ZAP |
| Anchore | Adoptado | Anchore ha adoptado CVSS v4 en sus informes de escaneo de contenedores. | Anchore |