Il CVSS (Common Vulnerability Scoring System) è uno standard aperto mantenuto dal FIRST (Forum of Incident Response and Security Teams) che assegna un punteggio numerico da 0.0 a 10.0 alla gravità di una vulnerabilità informatica, in base a un insieme di metriche oggettive e riproducibili. È il sistema di scoring universale associato a ogni CVE pubblicato nel NVD del NIST.
Scala di gravità
| Score CVSS | Livello di gravità |
|---|---|
| 0.0 | Nessuna |
| 0.1 – 3.9 | Bassa |
| 4.0 – 6.9 | Media |
| 7.0 – 8.9 | Alta |
| 9.0 – 10.0 | Critica |
Log4Shell (CVE-2021-44228) ha score CVSS 10.0; Heartbleed (CVE-2014-0160) ha 7.5.
Metriche CVSS v3.1
Il punteggio base si calcola da 8 metriche divise in due gruppi:
Exploitability Metrics (facilità di sfruttamento):
| Metrica | Abbreviazione | Valori |
|---|---|---|
| Attack Vector | AV | Network (N) / Adjacent (A) / Local (L) / Physical (P) |
| Attack Complexity | AC | Low (L) / High (H) |
| Privileges Required | PR | None (N) / Low (L) / High (H) |
| User Interaction | UI | None (N) / Required (R) |
Impact Metrics (impatto sulla Triade CIA):
| Metrica | Abbreviazione | Valori |
|---|---|---|
| Scope | S | Unchanged (U) / Changed (C) |
| Confidentiality Impact | C | None / Low / High |
| Integrity Impact | I | None / Low / High |
| Availability Impact | A | None / Low / High |
Una vulnerabilità con AV: N (sfruttabile via rete), AC: L (bassa complessità), PR: N (no privilegi), UI: N (no interazione utente), S: C (scope changed), C: H/I: H/A: H (impatto massimo su tutte e tre le proprietà CIA) ottiene il massimo score di 10.0.
Limiti del CVSS
Il CVSS misura la gravità tecnica intrinseca della vulnerabilità, non il rischio nel contesto specifico dell’organizzazione. Una vulnerabilità con score 9.8 in un sistema non esposto a Internet e senza dati sensibili rappresenta un rischio reale molto inferiore a una con score 6.5 su un sistema critico pubblicamente esposto. Per questo il CVSS va integrato con:
- EPSS (Exploit Prediction Scoring System): probabilità statistica che la vulnerabilità venga sfruttata nei prossimi 30 giorni, basata su dati reali di sfruttamento.
- CISA KEV catalog: lista di CVE con sfruttamento attivo documentato — priorità assoluta.
- Contesto aziendale: esposizione del sistema, dati trattati, impatto sul business.
CVSS v4.0
CVSS v4.0 (ottobre 2023) introduce miglioramenti significativi: granularità maggiore nelle metriche di exploitability (es. distingue la complessità di attacco dalla dipendenza da condizioni speciali), nuove metriche supplementari per sistemi OT/ICS (Safety Impact), e una nomenclatura standardizzata dei punteggi per i diversi gruppi di metriche (Base, Threat, Environmental, Supplemental).