Cos'è davvero il CVSS Score?

Se lavori nella cybersecurity, ti sarà capitato di leggere report pieni di numeri che vanno da 0.0 a 10.0. Quel valore è il CVSS score. Ma attenzione: non è una sentenza definitiva sulla pericolosità di un bug.

Il Common Vulnerability Scoring System (CVSS) è, in sostanza, un linguaggio standard. Serve a dare un nome e un peso alle vulnerabilità informatiche affinché tutti — dal sistemista al CISO — parlino la stessa lingua.

Un numero alto non significa necessariamente che devi correre a patchare tutto entro dieci minuti. Dipende da dove si trova il buco.

Proprio così. Un punteggio di 9.8 su un server isolato in una stanza blindata ha un impatto reale molto diverso dallo stesso 9.8 sul tuo gateway principale esposto a internet.

Le tre dimensioni del rischio

Per capire come nasce un cvss score, bisogna guardare sotto il cofano. Il sistema non spara numeri a caso, ma somma diverse metriche. Le principali sono tre: Base Score, Temporal Score e Environmental Score.

Il Base Score è quello che trovi quasi sempre nei database pubblici come il NVD. Rappresenta le caratteristiche intrinseche della vulnerabilità. Non cambia nel tempo. Se un bug permette l'esecuzione remota di codice senza autenticazione, il Base Score sarà alto a prescindere da chi lo usa.

Qui entrano in gioco i vettori d'attacco. Ad esempio:

  • Attack Vector (AV): L'attaccante deve essere fisicamente davanti al PC o può agire via rete?
  • Attack Complexity (AC): È un attacco a prova di scimmia o serve una configurazione astronomica per riuscirci?
  • Privileges Required (PR): Serve essere admin o basta un account guest?
  • User Interaction (UI): L'utente deve cliccare su un link sospetto o l'attacco avviene in autonomia?

Poi c'è il Temporal Score. Questo è dinamico. Se esce una patch ufficiale, il rischio cala. Se invece circola un exploit pubblico e funzionante su GitHub, il punteggio schizza verso l'alto.

Un dettaglio non da poco.

Infine troviamo l'Environmental Score. Questo è il più importante per chi gestisce un'infrastruttura reale. Qui pesi la vulnerabilità in base al tuo contesto specifico. Se quel software vulnerabile gira su un server che contiene i dati delle carte di credito dei clienti, il rischio ambientale è massimo.

Perché fare affidamento solo sul punteggio è un errore

Molti team di sicurezza cadono nella trappola del "prioritize by score". Ovvero: fixiamo prima tutto ciò che ha 9.0+, poi passiamo a 7.0 e così via.

È un approccio pigro. E pericoloso.

Immagina una vulnerabilità con punteggio 6.5 (Medium) che però permette di scalare i privilegi in un sistema critico già compromesso. In uno scenario di attacco a catena, quel 6.5 diventa la chiave per l'intera rete. Mentre intanto passi ore a patchare un 9.0 che riguarda una funzione del software che nessuno usa e che è protetta da tre firewall diversi.

Il CVSS score ti dice quanto è grave il problema in teoria, non quanto sia urgente nel tuo caso specifico.

CVSS v3.1 vs v4.0: cosa cambia?

Il mondo della sicurezza evolve e il sistema di scoring pure. La versione 4.0 ha introdotto cambiamenti significativi per correggere alcune imprecisioni della v3.1.

La novità principale riguarda la precisione nel definire l'impatto. Nella v4.0 è stata data più importanza alla distinzione tra l'impatto sul sistema vulnerabile e l'impatto su sistemi correlati. Questo evita che molti bug vengano "gonfiati" artificialmente.

In breve: meno rumore, più precisione.

Se state ancora usando calcolatori basati sulla v2 (che ormai è preistoria), è ora di aggiornare i processi. La v4.0 permette di mappare meglio le minacce moderne, specialmente in ambienti cloud e IoT dove il concetto di "perimetro" non esiste più.

Come usare un Calcolatore CVSS nel quotidiano

Non puoi memorizzare tutte le formule matematiche dietro il punteggio. Per questo esistono i calcolatori. Usare uno strumento come quello di cve.it permette di simulare diversi scenari velocemente.

Ecco come dovresti procedere per un'analisi seria:

Per prima cosa, inserisci i dati tecnici della vulnerabilità (Base Score). Poi, chiediti: "Abbiamo implementazioni che mitigano questo rischio?". Se hai un WAF configurato correttamente che blocca proprio quel payload, puoi abbassare manualmente il punteggio ambientale.

Questo processo trasforma un dato statico in intelligenza operativa.

Non limitarti a copiare e incollare il valore trovato su internet. Analizza il vettore d'attacco. Se l'AV (Attack Vector) è "Local", significa che l'hacker deve già avere accesso alla macchina. Questo cambia completamente la tua priorità rispetto a un attacco "Network".

Il concetto di 'Exploitability'

C'è una differenza abissale tra una vulnerabilità teorica e una sfruttabile.

Un cvss score alto indica che, se qualcuno trovasse il modo di sfruttare quel bug, i danni sarebbero enormi. Ma se non esiste alcun exploit pubblico e la ricerca di uno richiede mesi di reverse engineering, quella vulnerabilità è meno urgente di un bug "Medium" per cui esiste uno script automatico che gira su ogni botnet russa.

Il segreto è incrociare il CVSS con le informazioni sulle minacce (Threat Intelligence). Se vedi che un CVE specifico sta essendo usato in campagne di phishing attive, quel punteggio diventa prioritario a prescindere dal numero assegnato.

Sintesi per l'azione

Per gestire correttamente le vulnerabilità non serve diventare matematici, ma serve metodo. Il cvss score è la bussola, non la mappa completa.

Ricorda sempre di:

  • Verificare il vettore d'attacco prima di andare nel panico.
  • Valutare l'importanza dell'asset colpito (Environmental Score).
  • Controllare se esistono exploit pubblici (Temporal Score).
  • Non ignorare i punteggi medi se si trovano in punti strategici della rete.

La sicurezza non è una lista di numeri da azzerare, ma un processo costante di riduzione del rischio. Usate gli strumenti giusti, analizzate il contesto e smettete di inseguire solo i "dieci".