Calculadora CVSS

O que é uma Pontuação CVSS?

CVSS (Common Vulnerability Scoring System) é um método padronizado para avaliar a severidade de vulnerabilidades de software. Ele gera uma pontuação de 0,0 a 10,0 com base em múltiplos fatores de impacto e explorabilidade.

Como Funciona

1. Selecione os valores para cada vetor (por exemplo, AV, AC, PR).

2. A pontuação base e a string de vetor são calculadas automaticamente.

3. Copie e use em seus relatórios ou auditorias de segurança.

Interação do Usuário (UI)

A métrica de Interação do Usuário mede se uma vulnerabilidade pode ser explorada de forma independente ou se requer que um usuário desempenhe um papel ativo.

• Nenhuma: Se este campo for definido como "Nenhuma", significa que o atacante não precisa de ajuda de ninguém; a vulnerabilidade pode ser acionada sem qualquer envolvimento do usuário, o que tende a aumentar o risco.

• Necessária: Por outro lado, se "Necessária" for selecionada, a exploração só é possível se um usuário legítimo realizar uma ação específica primeiro, como clicar em um link, abrir um anexo de email ou executar uma instalação do sistema. Essa dependência do usuário pode reduzir a probabilidade de um ataque bem-sucedido.

Ao avaliar essa métrica, o CVSS v3.1 ajuda a entender o quanto um ataque depende da interação humana em vez de ser totalmente automatizado.

Disponibilidade (A)

Ao avaliar a disponibilidade no CVSS v3.1, você seleciona entre três níveis, cada um capturando um grau diferente de impacto no tempo de atividade do sistema e no acesso aos recursos:

• Alta (Pior): O atacante tem meios de impedir totalmente o acesso aos recursos do componente alvo. Isso pode se manifestar como uma interrupção completa do serviço, onde os usuários não conseguem acessar sistemas importantes, seja porque a perturbação persiste enquanto o ataque dura, seja porque o dano continua mesmo após o ataque cessar.

• Baixa (Ruim): Neste cenário, o desempenho pode cair ou há interrupções ocasionais na disponibilidade dos recursos. O serviço não fica completamente fora do ar, mas o impacto é tangível; os usuários podem experimentar lentidão, interrupções parciais ou falhas intermitentes.

• Nenhuma (Bom): Sem impacto algum. A vulnerabilidade não afeta o tempo de atividade do sistema nem a capacidade dos usuários de acessar seus recursos.

Cada classificação ajuda a definir claramente o quanto um problema pode afetar sua capacidade de manter os serviços em funcionamento, facilitando a priorização de correções onde mais importa.

Integridade

Ao avaliar a métrica de "Integridade" no CVSS v3.1, analisamos o quanto um atacante poderia adulterar dados ou recursos do sistema protegidos. Veja como o impacto é classificado:

• Alta: O pior cenário. Um atacante pode alterar livremente qualquer dado, ou fazer mudanças com consequências graves e diretas; como alguém com acesso para modificar arquivos críticos do sistema operacional ou bancos de dados sensíveis.

• Baixa: As coisas podem ser afetadas, mas de forma limitada. Um atacante pode realizar algumas alterações não autorizadas, mas a extensão do que pode ser mudado é controlada, ou essas mudanças não têm efeitos imediatos e graves.

• Nenhuma: Neste cenário, tudo permanece firme. Não há oportunidade para adulteração de dados, portanto a integridade permanece intacta.

Exemplos para Cada Vetor de Ataque e Requisito de Privilégio

Vetores de Ataque (AV)

Vetor de Ataque descreve como um atacante pode explorar uma vulnerabilidade. As opções são:

• Rede:
  Um exploit remoto clássico, onde um atacante envia pacotes especialmente criados pela Internet para comprometer um servidor web. Esses ataques podem acontecer de qualquer lugar, exigindo apenas acesso à rede. Pense no famoso ransomware WannaCry que percorreu o mundo explorando vulnerabilidades SMB.

• Adjacente:
  O atacante precisa estar na mesma rede local ou dentro de um domínio administrativo limitado. Por exemplo, um ataque baseado em Wi-Fi onde alguém inunda uma rede local com requisições ARP para interromper o serviço.

• Local:
  Esses ataques requerem que o perpetrador já tenha acesso ao sistema, talvez diretamente no teclado, ou remotamente via conexão shell segura. Exemplo clássico: induzir um usuário logado a abrir um arquivo malicioso por email (engenharia social).

• Físico:
  O atacante precisa de acesso físico ao hardware, como extrair chaves de criptografia conectando-se brevemente aos chips de memória de uma máquina, ou inserir um dispositivo USB malicioso para explorar acesso direto à memória.

Escolha o vetor de ataque mais adequado para a vulnerabilidade em questão, pois isso influenciará a avaliação de risco geral.

Requisitos de Privilégio (PR)

A métrica de Privilégios Necessários (PR) descreve o nível de acesso que um atacante precisa ter em um sistema vulnerável para explorar uma determinada vulnerabilidade.

• Nenhum:
  O atacante não precisa estar autorizado ou logado. Por exemplo, explorar uma vulnerabilidade em uma aplicação web pública onde qualquer pessoa na Internet pode lançar o ataque sem permissões especiais.

• Baixo:
  O atacante precisa de permissões básicas de usuário, como uma conta comum sem direitos administrativos. Exemplos incluem aproveitar um bug de escalação de privilégios local para ir de usuário comum a administrador.

• Alto:
  Privilégios significativos do sistema são necessários antes que o ataque possa ocorrer. O caso clássico: explorar uma vulnerabilidade que apenas um administrador ou root pode acessar, possivelmente para alterar arquivos ou configurações principais do sistema.

Quanto menos privilégios um atacante precisa, mais severa é a vulnerabilidade.

Complexidade do Ataque (AC)

Baixa: O ataque requer esforço mínimo; acesso especializado ou condições raras não existem. Um atacante pode esperar sucesso repetível ao mirar o componente vulnerável.

Alta: Um ataque bem-sucedido não é simples. Depende de fatores fora do controle direto do atacante, exigindo preparação adicional ou circunstâncias específicas. O atacante deve investir esforço mensurável antes de obter sucesso.

Como o CVSS v3.1 Classifica o Impacto na Confidencialidade

O CVSS v3.1 categoriza o impacto na confidencialidade em três níveis:

• Alta: O pior cenário, quando dados sensíveis ficam totalmente expostos ao atacante. Pense em senhas de administrador ou chaves de criptografia privadas caindo em mãos erradas. Se mesmo uma parte de informações restritas vazar e causar consequências graves, ela se enquadra nesta categoria.

• Baixa: O atacante obtém algum acesso a informações confidenciais, mas de forma limitada. Pode não escolher o que é revelado, ou os dados vazados não levam a consequências imediatas graves. Em essência, há uma violação, mas não uma que coloca todo o sistema em risco.

• Nenhuma: O padrão ouro; nenhuma informação confidencial é comprometida e tudo permanece protegido dentro do componente afetado.

Consequências Diretas versus Indiretas no CVSS v3.1

O sistema de pontuação CVSS v3.1 classifica Confidencialidade, Integridade e Disponibilidade em Alta, Baixa e Nenhuma, e também distingue entre consequências diretas e indiretas sob cada categoria.

• Consequências Diretas:
  Ocorrem quando as ações do atacante impactam imediata e gravemente o componente. Para confidencialidade, isso pode significar que o atacante obtém informações sensíveis como senhas de administrador ou chaves de criptografia. Para disponibilidade, uma consequência direta pode ser uma negação total de serviço.

• Consequências Indiretas:
  O impacto é menos imediato ou grave. Se o acesso do atacante é limitado ou se as alterações não têm um resultado crítico claro, o resultado é considerado uma consequência indireta. As consequências indiretas não criam impacto imediato ou grave na funcionalidade central do componente envolvido.

O que significa Escopo no CVSS v3.1 e como as opções "Alterado" e "Inalterado" impactam a pontuação?

Escopo descreve se uma vulnerabilidade, quando explorada, impacta apenas o que a autoridade de segurança inicial controla ou se se estende além de seus limites.

• Inalterado: Uma vulnerabilidade explorada pode afetar apenas recursos gerenciados pela mesma autoridade de segurança. O componente vulnerável e o componente impactado são o mesmo, ou ambos estão sob o domínio de uma única autoridade.

• Alterado: Se o escopo for alterado, uma vulnerabilidade explorada pode afetar recursos fora do escopo de segurança originalmente gerenciado pela autoridade do componente vulnerável. O componente vulnerável e o componente impactado são diferentes e podem ser gerenciados por autoridades completamente separadas.

Entender o escopo é fundamental para avaliar o raio de impacto potencial de uma vulnerabilidade.

Funcionalidades Principais

• Suporta pontuação CVSS v3.1

• Geração dinâmica de string de vetor

• Atualizações de pontuação em tempo real

• Interface simples para avaliações de segurança rápidas

• Ideal para conformidade, DevSecOps e envios de bug bounty

Exemplo de Saída

Vetor de Pontuação de Severidade:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Score: 9.8 – Critical

Entendendo "Pior", "Péssimo", "Ruim" e "Bom" no CVSS v3.1

No framework CVSS v3.1, os termos "Pior", "Péssimo", "Ruim" e "Bom" descrevem a severidade relativa ou a favorabilidade das opções possíveis para cada métrica. Pense neles como indicadores rápidos ao longo de um espectro que vai do impacto mais crítico ao menos crítico.

• Pior: Indica a opção mais grave para uma determinada métrica. Por exemplo, uma vulnerabilidade acessível pela Internet representa o risco no nível mais alto.

• Péssimo: Está logo abaixo de "Pior" em severidade. Ainda é bastante perigoso, talvez limitado a vizinhos de rede em vez de toda a Internet, mas não tão abrangente quanto o cenário "Pior".

• Ruim: Sugere um impacto negativo significativo, mas não tão grave quanto "Pior" ou "Péssimo". Por exemplo, a exploração bem-sucedida pode exigir acesso local ou privilégios especiais.

• Bom: Representa o cenário mais favorável ou seguro para essa métrica; pouco ou nenhum risco ou impacto. Se integridade ou confidencialidade é "Bom", geralmente significa que essas qualidades não são afetadas.

Em resumo: "Pior" é alerta vermelho, "Péssimo" é aviso sério, "Ruim" é cautela e "Bom" significa que você está seguro. Esses rótulos ajudam a avaliar rapidamente onde uma determinada condição de segurança se situa no espectro de risco dentro do framework CVSS.

Casos de Uso Comuns

• Testes de penetração e red teaming

• Gates de segurança DevSecOps

• Priorização de patches de software

• Conformidade de segurança (ISO 27001, SOC 2)

• Envios de bug bounty

Ferramentas Complementares Recomendadas

• Gerador de Senha - para proteger endpoints

• Gerador de Token - para simulações de API

• Gerador de UUID - para geração de IDs únicos no rastreamento de bugs

• Gerador de Endereço IP - para simulação de rede