روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ امسال، بیستمین سالگرد معرفی سامانه‌ی امتیازدهی آسیب‌پذیری‌های رایج (CVSS) است؛ استانداردی که به‌طور گسترده برای توصیف آسیب‌پذیری‌های نرم‌افزاری پذیرفته شده است. با وجود گذشت دو دهه از استفاده و چهار نسل از توسعه این استاندارد — که اکنون در نسخه ۴.۰ قرار دارد — قوانین امتیازدهی CVSS همچنان به‌درستی درک یا به‌درستی استفاده نمی‌شوند، و این سامانه همچنان موضوع بحث‌های گسترده است. بنابراین برای محافظت مؤثر از دارایی‌های فناوری‌اطلاعاتی خود  باید در مورد CVSS چیزهایی دانست که ما در این مقاله سعی کردیم صفر تا صدش را در اختیارتان قرار دهیم. با ما همراه شوید.

امتیاز پایه[1]در CVSS

طبق گفته توسعه‌دهندگان آن، CVSS  ابزاری است برای توصیف ویژگی‌ها و شدت آسیب‌پذیری‌های نرم‌افزاری. این سامانه توسط «انجمن تیم‌های پاسخ‌گویی به رخدادهای امنیتی»نگهداری می‌شود. هدف از ایجاد آن، فراهم کردن زبان مشترکی برای کارشناسان امنیتی جهت صحبت درباره آسیب‌پذیری‌ها و نیز امکان پردازش خودکار داده‌های مربوط به آن‌هاست. تقریباً تمام آسیب‌پذیری‌هایی که در پایگاه‌های معتبر مانند  CVE، EUVD  یا CNNVD  منتشر می‌شوند، شامل ارزیابی شدت بر اساس مقیاس CVSS می‌شوند.

هر ارزیابی معمولاً از دو بخش اصلی تشکیل شده است:

•          امتیاز عددی: عددی بین ۰ تا ۱۰ که شدت آسیب‌پذیری را نشان می‌دهد. امتیاز ۱۰ یعنی آسیب‌پذیری بسیار خطرناک و بحرانی است.
•          وکتور: رشته‌ای استاندارد از متن که ویژگی‌های کلیدی آسیب‌پذیری را توصیف می‌کند. برای مثال، آیا این آسیب‌پذیری از راه دور (از طریق شبکه) قابل بهره‌برداری است یا فقط به‌صورت محلی، آیا نیاز به دسترسی سطح بالا دارد، بهره‌برداری از آن چقدر پیچیده است، و اینکه چه جنبه‌هایی از سیستم آسیب‌دیده (محرمانگی، یکپارچگی، یا دسترس‌پذیری) تحت تأثیر قرار می‌گیرند.

در اینجا یک مثال با استفاده از آسیب‌پذیری‌ای که به شدت وخیم است و به طور فعال دارد اکسپلویت می‌شود ارائه شده است:

CVE-2021-44228 (لاگ‌شل): امتیاز پایه 10.0

(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

بیایید این موضوع را به بخش‌های مختلف تقسیم کنیم:

برد حمله از طریق شبکه است، پیچیدگی حمله پایین است، هیچ سطحی از دسترسی  مورد نیاز نیست، نیازی به تعامل کاربر وجود ندارد، دامنهنشان می‌دهد که این آسیب‌پذیری بر اجزای دیگر سیستم نیز تأثیر می‌گذارد، و تأثیر آن بر محرمانگی، یکپارچگی و دسترس‌پذیری بالا است.

توضیحات دقیق درباره هر یک از این اجزا در مشخصات CVSS نسخه 3.1 و 4.0 در دسترس است.

بخش کلیدی این سامانه، روش امتیازدهی آن — یا همان ماشین‌حساب — است که برای نسخه‌های 3.1 و 4.0 در دسترس است. با وارد کردن اجزای مختلف وکتور، می‌توان به‌طور خودکار یک امتیاز عددی برای شدت آسیب‌پذیری دریافت کرد.

در نسخه اولیه، CVSS  شامل سه گروه اصلی از معیارها می‌شد:

•          معیارهای پایه: ویژگی‌های بنیادی و ثابت آسیب‌پذیری که امتیاز پایه بر اساس آن‌ها محاسبه می‌شود.
•          معیارهای زمانی: ویژگی‌هایی که با گذر زمان تغییر می‌کنند — مثل انتشار ابزارهای بهره‌برداری از آسیب‌پذیری.
•          معیارهای محیطی: مختص استفاده داخلی سازمان‌ها و شامل شرایط خاص مانند جایگاه نرم‌افزار آسیب‌پذیر در زیرساخت یا وجود راهکارهای محافظتی.

در نسخه ۴.۰، معیارهای زمانی به معیارهای تهدیدتبدیل شده‌اند، و گروه جدیدی به نام معیارهای مکمل[2]نیز افزوده شده است. این تحولات نشان می‌دهند که امتیاز پایه، تنها نقطه شروع در ارزیابی آسیب‌پذیری‌هاست — نه پایان آن. برای تحلیل دقیق‌تر و تصمیم‌گیری بهتر در حوزه‌ی امنیت، لازم است به بافت زمانی، محیطی و تهدیدمحور آسیب‌پذیری نیز توجه شود.

در ادامه به نحوه‌ی ارتباط بین معیارهای مختلف در سیستم امتیازدهی CVSS می‌پردازیم.

معمولاً شرکت‌های نرم‌افزاری یا شرکت‌های فعال در حوزه امنیت سایبری، شدت پایه‌ی یک آسیب‌پذیری را ارزیابی می‌کنند — که در مشخصات نسخه ۴.۰ با عنوان CVSS-B شناخته می‌شود.
این شرکت‌ها همچنین اغلب ارزیابی‌ای در رابطه با دسترس‌پذیری و افشای عمومی کُد سوءاستفاده انجام می‌دهند (در نسخه ۴.۰ با عنوان CVSS-BT و در نسخه ۳.۱ با عنوان معیار زمانی. این امتیاز در واقع نسخه‌ای اصلاح‌شده از امتیاز پایه است. بنابراین، مقدار CVSS-BT می‌تواند بالاتر یا پایین‌تر از CVSS-Bباشد. اما امتیاز محیطی (CVSS-BTE)درون سازمان‌ها محاسبه می‌شود و مبتنی بر امتیاز CVSS-BT است، با در نظر گرفتن شرایط خاص آن سازمان در استفاده از نرم‌افزار آسیب‌پذیر.

تکامل  CVSS

نسخه‌های اول و دوم CVSS که به ترتیب در سال‌های ۲۰۰۵ و ۲۰۰۷ منتشر شدند، امروزه به‌ندرت استفاده می‌شوند. هرچند ممکن است هنوز امتیازهایی از آن‌ها برای برخی آسیب‌پذیری‌های مدرن مشاهده کنید، اما نسخه‌های ۳.۱ در سال ۲۰۱۹و ۴.۰ در سال ۲۰۲۳)رایج‌ترین نسخه‌های در حال استفاده هستند. با این حال، بسیاری از شرکت‌های نرم‌افزاری و پایگاه‌های اطلاعاتی هنوز به‌طور کامل نسخه ۴.۰ را نپذیرفته‌اند و همچنان از امتیازدهی نسخه ۳.۱ استفاده می‌کنند.

ایده‌ی اصلی در نسخه‌ی نخست  CVSS، کمی‌سازی شدت آسیب‌پذیری‌ها از طریق یک سیستم امتیازدهی بود که به سه دسته معیار تفکیک می‌شد: پایه، زمانی و محیطی.  در آن مرحله، توصیف‌های متنی به‌صورت نسبتاً ساده و مستقل از یکدیگر ارائه شده بودند.

در نسخه ۲.۰، رشته‌ی وکتور استاندارد شد و منطق جدیدی اضافه شد: امتیاز پایه به‌عنوان بخشی اجباری و ثابت تعریف شد، امتیاز زمانی بر پایه امتیاز پایه محاسبه می‌شد ولی با لحاظ عوامل متغیر، و امتیاز محیطی برای استفاده در شرایط خاص سازمانی با تکیه بر امتیاز پایه یا زمانی تعیین می‌شد. نسخه‌های ۳.۰ و ۳.۱ مفهوم دامنهرا معرفی کردند — اینکه آیا آسیب‌پذیری فقط بر همان مؤلفه اثر دارد یا سایر مؤلفه‌های سیستم را نیز تحت تأثیر قرار می‌دهد. همچنین تعاریف دقیق‌تری برای سطوح دسترسی لازم و میزان تعامل کاربر ارائه شد، و مقادیر بسیاری از معیارها اصلاح و عمومی‌تر شدند. مهم‌تر از همه، این نسخه‌ها بر این نکته تأکید کردند که CVSS  شدت آسیب‌پذیری را اندازه می‌گیرد، نه ریسک ناشی از آن را.

در نسخه‌ی۴.۰، توسعه‌دهندگان تلاش کردند تا CVSS را برای ارزیابی‌های سطح کسب‌وکار نیز مفیدتر کنند؛ هرچند همچنان این سامانه ابزار سنجش ریسک نیست.
در این نسخه، معیار پیچیدگی حمله به دو بخش مجزا تفکیک شده است:

•          پیش‌نیازهای حمله
•          پیچیدگی حمله 

این تفکیک به‌وضوح تفاوت بین دشواری ذاتی حمله (مثلاً طراحی فنی پیچیده) و عوامل خارجی لازم برای موفقیت آن (مثلاً تنظیمات خاص در سیستم قربانی) را نشان می‌دهد. در عمل، اگر بهره‌برداری از یک نقص به پیکربندی خاص و نادری نیاز داشته باشد، امتیاز پیش‌نیاز حمله بالا خواهد بود، و در نتیجه امتیاز کلی CVSS کاهش می‌یابد. معیار دامنه که پیش از این فقط دو گزینه‌ی بله/خیر داشت (برای تعیین تأثیر بر مؤلفه‌های دیگر سیستم)، در نسخه ۴.۰ با مفهوم دقیق‌تر و جدید سیستم‌های وابستهجایگزین شده است. این معیار حالا مشخص می‌کند که آسیب‌پذیری دقیقاً کدام بخش از عملکرد سیستم را تحت تأثیر قرار می‌دهد. علاوه بر این، دامنه‌ای از شاخص‌های پشتیبان نیز افزوده شده‌اند — مانند:

•          امکان خودکارسازی بهره‌برداری[3]
•          تأثیر بهره‌برداری بر ایمنی فیزیکی انسان‌ها

فرمول‌های امتیازدهی نیز به‌شکل قابل‌توجهی بازنگری شده‌اند. تأثیر معیارهای مختلف بر امتیاز نهایی با تحلیل پایگاه‌داده‌ای گسترده از آسیب‌پذیری‌ها و داده‌های سوءاستفاده‌های واقعی در دنیای بیرونی بازبینی شده است.

چگونه CVSS 4.0 اولویت‌بندی آسیب‌پذیری‌ها را تغییر می‌دهد؟

برای متخصصین امنیت سایبری، نسخه ۴.۰ سیستم امتیازدهی آسیب‌پذیری‌ها (CVSS) تلاش می‌کند ابزاری عملی‌تر و منطبق‌تر با واقعیت‌های امروز باشد. امروزه با ده‌ها هزار آسیب‌پذیری مواجه هستیم — بسیاری از آن‌ها امتیاز CVSS بالایی دریافت می‌کنند. این موضوع باعث می‌شود در بسیاری از سازمان‌ها، این آسیب‌پذیری‌ها به‌طور خودکار در لیست اقدامات فوری قرار گیرند. اما این لیست‌ها دائماً در حال رشد هستند و میانگین زمان لازم برای اصلاح یک آسیب‌پذیری به حدود هفت ماه رسیده است. هنگام بازارزیابی آسیب‌پذیری‌ها از CVSS 3.1 به 4.0، امتیاز پایه برای نقص‌هایی با شدت بین ۴.۰تا ۹.۰ معمولاً کمی افزایش پیدا می‌کند. اما برای آسیب‌پذیری‌هایی که در CVSS 3.1  «بحرانی» تلقی می‌شدند، این امتیاز معمولاً تغییری نمی‌کند یا حتی کاهش می‌یابد. نکته مهم‌تر این است که در نسخه‌های قبلی، معیارهای زمانی تأثیر زیادی بر امتیاز نهایی نداشتند، اما در نسخه ۴.۰، معیارهای تهدید  و محیطینقش مهم‌تری در تعیین شدت ایفا می‌کنند.

شرکت امنیتی Orange Cyberdefense مطالعه‌ای در این زمینه انجام داده است. تصور کنید شرکتی در حال پیگیری ۸۰۰۰آسیب‌پذیری است، و تیم‌های فناوری اطلاعات و امنیت آن موظف‌اند هر آسیب‌پذیری‌ای را که امتیاز پایه‌اش بالاتر از ۸ باشد، در بازه‌ای مشخص رفع کنند.

مطالعه نشان داد که:

•          در نسخه ۴.۰، حدود ۳۳٪ از آسیب‌پذیری‌ها امتیاز بالای ۸ دریافت می‌کنند (در مقایسه با ۱۸٪در نسخه ۳.۱).
•          اما وقتی دسترس‌پذیری عمومی کد سوءاستفاده  در نظر گرفته می‌شود، این عدد به‌طور چشمگیری کاهش می‌یابد:

            - فقط هشت درصد از آسیب‌پذیری‌ها در CVSS 4.0، و

       - ده دصد در نسخه ۳.۱ واقعاً در دسته‌ی «بحرانی» باقی می‌مانند.

سطوح بحرانی، شدید، و تمامی درجات میانی— تفاوت در چیست؟

چه تفاوتی بین یک آسیب‌پذیری «بحرانی» و یک آسیب‌پذیری صرفاً خطرناک وجود دارد؟ در مشخصات CVSS، توضیح متنی شدت هم وجود دارد، اما همیشه به‌صورت اجباری در کنار امتیاز درج نمی‌شود.

محدوده‌های شدت آسیب‌پذیری در CVSS به این صورت است:

•          شدت پایین:امتیاز بین 0.1 تا 3.9
•          شدت متوسط: 4.0 تا 6.9
•          شدت بالا: 7.0 تا 8.9
•          شدت بحرانی:9.0 تا 10.0

در عمل، بسیاری از فروشندگان نرم‌افزار این برچسب‌های متنی را به شکل خلاقانه به‌کار می‌برند. برخی ممکن است بر اساس ارزیابی‌های داخلی یا فاکتورهایی که در CVSS لحاظ نشده‌اند، شدت‌ها را تغییر دهند.

مثال روشن این موضوع، به‌روزرسانی امنیتی ماه ژوئن مایکروسافت(پچ سه‌شنبه)است:

•          آسیب‌پذیری CVE-2025-33064 با برچسب «مهم»  ارائه شده، در حالی‌که امتیاز CVSS آن ۸.۸ است.
•          در مقابل، CVE-2025-32710 با برچسب «بحرانی»معرفی شده، اما امتیاز آن ۸.۱ است.

این تفاوت‌ها نشان می‌دهد که صرف تکیه بر عدد CVSS برای اولویت‌بندی کافی نیست، و درک زمینه، تهدید واقعی، و وضعیت سازمانی اهمیت فزاینده‌ای یافته‌اند — به‌ویژه در CVSS 4.0.

[1] Base Score

[2] Supplemental Metrics

[3] Automatability

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.