CVE-2014-0160: красное или желтое?

В кулуарах возник вопрос о том, что различные источники по разному оценивают степень риска, связанно с уязвимостью в OpenSSL.

Давайте попробуем посчитать сами.

Формально, по CVSS, степень риска – средняя. Однако для ряда сервисов – например публичных Web-сайтов – степень риска вполне себе критическая, поскольку с помощью уязвимости можно увести пароли  и потом влиять не только «чуть-чуть на конфиденциальность» как в CVSS, а устроить полный кибермагидец всему CIA. Это естественно сказывается на оценке, ведь именно Impact Metrics в данном случае дает невысокую оценку.

Проблема (точнее не проблема, а понятное ограничение) CVSS и подобных оценок, то что они не рассматривают уязвимость применительно к конкретной системе и не рассматривают «второй хоп» эксплуатации, т.е. уязвимости, возникающие в результате успешной атаки. Это в принципе правильно, поскольку все это носит вероятностную оценку, надо строить граф атаки и т.д. Но иногда, при применении «в лоб» может запутать неспециалиста.

С подобной ситуацией я сталкивался когда при разработке WASC TCv2 пытались сделать «шкалу рисков» для Web-уязвимостей. Очень непросто, поскольку для оценки не уязвимости, а потенциального риска для системы надо учитывать контекст, т.е. к чему может привести данная конкретная SQLi или XSS. Согласитесь, что XSS на основной странице Яндекса или на никогда не используемом Web-HMI системы АСУ ТП, через которую только alert получишь – совершенно разные вещи.
В результате мы долго использовали «worst case scenario» (http://www.ptsecurity.ru/download/analitika_web.pdf, стр 32), но сейчас пересматриваем и этот подход.

Таким образом ответ: формально уязвимость – среднего уровня риска, однако для систем передающих важную информацию небольших объемов (пароли, номера кред и проч) эксплуатация уязвимости может привести к получению данных, использование которых может привести к полной компрометации системы или существенным финансовым потерям, в связи с чем иногда полезно повышать степень ее риска до критической.