解读 CVSS 通用评分系统中最具争议的 Scope_cvss scope

CVSS, Common Vulnerability Scoring System, 即通用漏洞评分系统，简言之就是一个对安全漏洞进行打分的标准。网络安全人员按照 CVSS 评分的维度对漏洞打分，截至到今天，CVSS 已经升级到 3.1 版本。实际上 CVSS 评分还有一些令人模糊的灰色地带，尤其是最具争议的 Scope，本次就在这里解读一下关于 Scope，到底该不该 Changed。

在线打分：

• 推荐：https://cvss.js.org/
• 官方：https://www.first.org/cvss/calculator/3.1

CVSS 基础解读

如果你是网络安全相关的从业者，对 CVSS 一定不会陌生，其打分维度也比较简单，如下所示。主要包括

• 攻击向量，即攻击者利用什么样的路径进行攻击，包括网络攻击，局域网攻击（蓝牙/WIFI），本地和物理攻击
• 攻击复杂度，即攻击者完成一次攻击需要的条件是否苛刻，是否可以重复攻击，例如暴力破解密码，中间人攻击，钓鱼攻击，条件竞争，这些都是复杂度高的案例
• 用户交互，即攻击者完成一次攻击，需要受害者提前做出某种行为，例如点击事件，安装应用
• 作用域，这是一个最具争议的维度，CVSS 官方解释让其具有一定的模糊性，当某个授权范围约束的组件的漏洞能够影响其他授权范围约束的资源，说明作用域/范围发生了变化
• CIA，即信息安全常说的机密性、完整性和可用性，比较简单，不再赘述

CVSS 评分一定要设定攻击场景，基于攻击场景打分。 也就是说，一个合格的漏洞评估人员，不仅要理解漏洞原理，还需要对实际的攻击场景有一个清晰的认识，这样才能对漏洞合理评分。

CVSS Scope 解读

打分维度最具模糊性的代表是 Scope，CVSS 3 引入，官方定义的模糊性导致了打分可能会出现较大，一些安全测试人员会使用 /S:C/(Scope: Changed) 提高漏洞的最终得分，事实上，Scope 并不是严重漏洞的专属，也不是一些高级漏洞的特例，一些一般问题甚至提示问题，都可以 Changed，而一些所谓的严重问题甚至致命问题，Scope 也不一定 Changed。

CVSS 3.1 对 Scope 的描述已经变得清晰起来，并且结合 Vulnerable Component（易受攻击的组件），Impacted Component（受影响组件） 两个概念，使其打分更加合理。

When a vulnerability in a component governed by one security authority is able to affect resources governed by another security authority, a Scope change has occurred.

CVSS 3.1 Scope 官方定义，其实这个定义总体上来说，与原先大体一致，即 当某个授权范围约束的组件的漏洞能够影响其他授权范围约束的资源，说明作用域/范围发生了变化。

评分说明

1. Vulnerable Component 易受攻击的组件是一个独立的 Scope 作用域，Impacted Component 易受影响的组件也是一个独立的 Scope 作用域，因此，当易受攻击的组件存在漏洞，并且会影响到易受影响的组件的安全，让攻击者可以访问易受影响的组件的资源，此时“作用域”或者翻译成“范围”发生了改变。
2. Scope 发生改变时，AV/AC/UI/PR 基于 Vulnerable Component 选择，而 CIA 则是基于 Impacted Component。
3. 虚拟机/沙箱逃逸，允许以较低权限级别运行高权限的指令（处理器级别），这是最为典型的 Scope Changed 的漏洞，也是没有任何异议的。
4. Web 应用程序中的漏洞影响用户客户端（例如 Web 浏览器），Scope 发生改变，例如 XSS，Web 服务器的路径穿越，注意 SQL 注入仍然没有改变作用域，这是因为 SQL 注入影响的仍然是目标服务器。
5. 分布式组件/网络设备可能会造成 Scope Changed（例如针对 ARP/DNS 协议的攻击）。
6. 通过利用应用程序中允许用户限制访问与跨多个安全范围的其他组件共享的资源（例如，操作系统资源，如系统文件）的漏洞，攻击者可以访问他们不应访问的资源。由于已经存在跨信任边界的有效路径，因此没有范围更改。

案例分析

Juniper 公司 Junos 设备代理 ARP 拒绝服务漏洞（CVE-2013-6014）（9.3 CRITICAL）

在未编号的接口上启用代理 ARP 时，允许远程攻击者执行 ARP 投毒攻击，并可能通过精心制作的 ARP 消息获取敏感信息。

思科访问控制绕过漏洞（CVE-2012-1342）（6.1 MEDIUM）

运行 IOS XR 软件版本 3.9、4.0 和 4.1 的思科运营商路由系统 (CRS-X) 允许远程攻击者通过分段数据包绕过 ACL 条目，即错误 ID CSCtj10975。该漏洞允许未经身份验证的远程攻击者绕过设备访问控制条目 (ACEs) 并发送本应被拒绝的网络流量。它只影响具有特定 ACE 结构的设备。

Wordpress 插件 XSS（CVE-2012-1342）（6.1 MEDIUM）

这是一个最典型的 XSS 攻击的打分。

Google Chrome 沙箱逃逸漏洞（CVE-2012-5376）（9.6 CRITICAL）

Google Chrome 中的进程间通信 (IPC) 实现允许远程攻击者绕过预期的沙箱限制，实现对渲染器进程的访问，达到任意文件写的目的。

英特尔 DCI 问题（CVE-2018-3652)（7.6 HIGH）

第五代和第六代英特尔至强处理器 E3 家族、英特尔至强可扩展处理器和英特尔至强处理器 D 家族中 DCI（直接连接接口）的现有 UEFI 设置限制允许有限的物理存在攻击者通过调试接口访问平台机密。

其他案例

本地提权或者 Android 中的应用组件漏洞，需要通过安装恶意应用来进行攻击怎么打分？

Android 本地安装应用攻击

CVE-2022-33708：Galaxy Store 中的 AppsPackageInstaller 中的不正确输入验证漏洞允许本地攻击者以 Galaxy Store 权限启动活动。

7.8 HIGH
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

因此，Android 本地安装应用，在 AV 是 Local 的基础上，PR 应该是 Low，即需要一定的权限。一个应用安装在本地，如果什么权限都不申请，几乎是做不了事情的。

Windows 本地提权攻击

CVE-2022-30138：Windows 后台打印程序特权提升漏洞。

7.8 HIGH
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

因此，本地攻击在多数场景下是需要一定的权限，当然也需要结合实际场景，看看我们的恶意应用或者恶意用户成功完成一次攻击，并造成相应影响，到底需不需要部分权限。

总结

作为安全测试人员，CVSS 是我们最为常用的一种评估漏洞风险的手段。但是实际上很多安全研究者并没有深究背后的打分机制，许多漏洞的评分也值得商榷。本次，我们深入探讨 CVSS 打分中最具争议的 Metric，即 Scope， 并结合相关案例给出实际评分标准，目的是希望大家都能够对漏洞进行合理评分。

参考文献

• https://www.first.org/cvss/user-guide#2-1-Scope-Vulnerable-Componentand-Impacted-Component
• https://www.mitre.org/sites/default/files/2021-11/pr-18-2208-rubric-for-applying-cvss-to-medical-devices.pdf
• https://www.first.org/cvss/examples