سطوح امنیتی قدیمی

تعاریف مقاله

1. Legacy Security Levels (سطوح امنیتی قدیمی):
   دسته‌بندی‌های امنیتی که پیش از نسخه TSR-2017-0002 برای آسیب‌پذیری‌ها استفاده می‌شدند.
2. Targeted Security Releases (TSR):
   بروزرسانی‌های امنیتی هدفمند که برای رفع آسیب‌پذیری‌های مشخص منتشر می‌شوند.
3. CVSSv2 (Common Vulnerability Scoring System نسخه 2):
   یک سیستم استاندارد برای امتیازدهی به آسیب‌پذیری‌ها، که شدت آن‌ها را از 1 تا 10 ارزیابی می‌کند.
4. Base Score (امتیاز پایه):
   عددی بین 1 تا 10 که شدت آسیب‌پذیری را نشان می‌دهد. 10 شدیدترین آسیب‌پذیری است.
5. Base Metrics (شاخص‌های پایه):
   ویژگی‌های آسیب‌پذیری که مستقل از زمان یا محیط کاربری ثابت می‌مانند و برای محاسبه امتیاز پایه استفاده می‌شوند.
6. Base Vector (بردار پایه):
   ترکیبی از مقادیر شاخص‌های پایه که امتیاز CVSSv2 را مشخص می‌کند.
7. Metrics (شاخص‌ها):
   • AV (Access Vector): سطح دسترسی آسیب‌پذیری
   • AC (Attack Complexity): پیچیدگی حمله مورد نیاز
   • Au (Authentication): نیاز به احراز هویت
   • C (Confidentiality): تاثیر بر محرمانگی اطلاعات
   • I (Integrity): تاثیر بر صحت اطلاعات
   • A (Availability): تاثیر بر دسترس‌پذیری سیستم
8. Security Levels (سطوح امنیتی):
   • Critical (بحرانی): آسیب‌پذیری‌های بسیار خطرناک که اجازه دسترسی و اجرای کد از راه دور بدون تعامل کاربر را می‌دهند.
   • Important (مهم): آسیب‌پذیری‌هایی که امکان دسترسی یا تغییر سطح احراز هویت سیستم را فراهم می‌کنند.
   • Moderate (متوسط): آسیب‌پذیری‌هایی که برای بهره‌برداری نیازمند سناریوهای نادر و غیر معمول هستند.
   • Minor (جزئی): آسیب‌پذیری‌هایی که در سناریوهای بسیار نادر رخ می‌دهند و تاثیر کمی دارند.

مقدمه

این مقاله سطوح امنیتی قدیمی آسیب‌پذیری‌ها را توضیح می‌دهد. این سطوح امنیتی برای Targeted Security Releases قبل از TSR-2017-0002 اعمال می‌شدند.

CVSSv2

برای بروزرسانی‌های امنیتی هدفمند از TSR-2015-0001 تا TSR-2017-0001، از Common Vulnerability Scoring System نسخه 2 (CVSSv2) برای امتیازدهی به آسیب‌پذیری‌ها استفاده شده است.

زمانی که یک آسیب‌پذیری افشا می‌شد، امتیاز پایه CVSSv2 و Base Vector آن ارائه می‌شد. با استفاده از Base Vector می‌توان امتیاز کامل CVSSv2 را تعیین کرد.

امتیاز پایه و شاخص‌های پایه

• امتیاز پایه (Base Score): عددی بین 1 تا 10 که با افزایش شدت آسیب‌پذیری افزایش می‌یابد. مقدار 10 نشان‌دهنده شدیدترین آسیب‌پذیری است.
• شاخص‌های پایه (Base Metrics): ویژگی‌های آسیب‌پذیری که مستقل از زمان یا محیط کاربری ثابت هستند.

برای محاسبه امتیاز پایه، به شاخص‌های پایه مقادیر اختصاص دهید.

بردار پایه (Base Vector)

بردار پایه ترکیبی از شاخص‌هایی است که امتیاز پایه را محاسبه می‌کنند و ساختار آن به صورت زیر است:

(AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C])

نکته:

• برای هر مجموعه پرانتز باید یک گزینه انتخاب شود.
• شاخص‌هایی که در پرانتز نیستند اجباری هستند و باید برای ایجاد یک بردار CVSS معتبر لحاظ شوند.
• هر حرف یا ترکیب حروف نماینده یک شاخص یا مقدار آن در CVSS است.

شاخص‌ها و مقادیر ممکن آن‌ها:

سطوح امنیتی قدیمی (Legacy Security Levels)

سطوح امنیتی به ترتیب شدت عبارتند از:

1. Critical (بحرانی):
   • آسیب‌پذیری‌هایی که اجازه دسترسی و اجرای کد از راه دور بدون احراز هویت و تعامل کاربر را می‌دهند.
   • این آسیب‌پذیری‌ها می‌توانند توسط اسکریپت‌های خودکار مانند کرم‌ها، سیستم را کاملاً به خطر بیندازند.
2. Important (مهم):
   • آسیب‌پذیری‌هایی که امکان به خطر انداختن سطح احراز هویت سیستم توسط شخص ثالث را فراهم می‌کنند.
   • مثال‌ها:
     • کاربران محلی می‌توانند سطح دسترسی خود را ارتقا دهند.
     • کاربران راه دور بدون احراز هویت به منابعی دسترسی پیدا می‌کنند که نیاز به احراز هویت دارد.
     • کاربران راه دور می‌توانند کد دلخواه اجرا کنند که شامل هر حمله محلی یا راه دوری است که منجر به denial of service شود.
3. Moderate (متوسط):
   • آسیب‌پذیری‌هایی که برای بهره‌برداری نیازمند سناریوهای نادر و غیر معمول هستند.
   • معمولاً ناشی از پیکربندی‌های نادرست یا غیر معمول سیستم هستند و فقط در شرایط بسیار خاص رخ می‌دهند.
4. Minor (جزئی):
   • آسیب‌پذیری‌هایی که در دسته‌های بالا نمی‌گنجند.
   • در شرایط بسیار نادر و با اجرای دقیق و هماهنگ رخ می‌دهند که کنترل آن‌ها خارج از دست مهاجم است.
   • حتی اگر موفقیت‌آمیز باشند، تاثیر کمی یا هیچ تاثیری روی سیستم ندارند.

کیان پور