Ti capita mai di scorrere un report di scansione e ignorare sistematicamente tutto ciò che è etichettato come Low? Sei in buona compagnia. La tentazione di dare priorità solo ai Critical o agli High è quasi irresistibile, specialmente quando le risorse sono poche e i tempi stretti.

Il problema è che il punteggio CVSS (Common Vulnerability Scoring System) non è una verità assoluta, ma un calcolo matematico basato su parametri standard. Quando vedi cvss low, non stai leggendo "non succede nulla", ma piuttosto "secondo i criteri generali, l'impatto immediato è limitato".

Il trucco del punteggio basso

Un punteggio Low (generalmente tra 0.1 e 3.9) indica che per sfruttare quella falla servono condizioni molto specifiche. Magari l'attaccante deve avere già un accesso fisico alla macchina, oppure deve possedere credenziali di utente con privilegi limitati.

Sembra rassicurante. Proprio così.

Ma qui sta l'inganno. In un attacco moderno, raramente un hacker usa un unico "super-exploit" che apre le porte di tutto il sistema in un colpo solo. La realtà è molto più noiosa e metodica: si parla di vulnerability chaining.

Immagina una serie di tessere del domino. Una vulnerabilità Low potrebbe permettere a un malintenzionato di leggere un file di configurazione non critico. Sembra irrilevante? Forse. Ma se in quel file c'è un commento lasciato da uno sviluppatore distratto con l'indirizzo interno di un server, quella falla "bassa" è diventata il ponte per un attacco Medium o High.

Come viene calcolato un CVSS Low?

Per capire perché una vulnerabilità finisce in questa categoria, dobbiamo guardare le metriche. Il punteggio base dipende da fattori come l'Attack Vector (AV), la Attack Complexity (AC) e i Privileges Required (PR).

  • Vettore di attacco locale: Se per colpire il sistema bisogna essere già seduti alla scrivania dell'utente, il punteggio crolla.
  • Complessità elevata: Se l'exploit richiede un timing perfetto al millisecondo o condizioni ambientali rarissime, è Low.
  • Privilegi elevati: Se per attivare la falla devi già essere Amministratore, il rischio percepito è basso (perché chi ha già quei poteri può fare quasi tutto).

Un dettaglio non da poco: l'impatto su Confidenzialità, Integrità e Disponibilità (C, I, A) è spesso valutato come None o Low. Ma "basso impatto" non significa "nessun impatto".

Il rischio contestuale: il vero punto cieco

Il CVSS Base Score è agnostico. Non sa chi sei, cosa vendi e quanto sono preziosi i tuoi dati. È un numero astratto.

Prendiamo un esempio pratico. Una vulnerabilità che permette l'enumerazione degli utenti (spesso classificata come Low) su un sito di e-commerce pubblico potrebbe essere trascurabile. Lo stesso bug su un portale governativo riservato, dove sapere chi ha un account è già un'informazione sensibile, diventa improvvisamente un problema serio.

Ecco perché non puoi fidarti ciecamente del numero. Devi applicare le Environmental Metrics. Se il sistema colpito è isolato in una rete DMZ senza accesso ai dati critici, quel Low rimane un Low. Se invece è il server che gestisce le chiavi di cifratura dell'azienda, quel punteggio basso è un campanello d'allarme che stai ignorando.

Quando puoi davvero ignorare un CVSS Low?

Siamo onesti: non puoi patchare tutto. Se provassi a risolvere ogni singola vulnerabilità di livello basso in un'infrastruttura enterprise, passeresti le giornate a riavviare server senza mai fare altro.

La strategia corretta non è l'eliminazione totale, ma la gestione del rischio. Puoi dare priorità minore a un CVSS Low se:

  • Il sistema è protetto da controlli compensativi (es. un firewall estremamente restrittivo o un WAF aggiornato).
  • L'asset interessato non contiene dati sensibili e non ha connessioni con zone critiche della rete.
  • L'exploit richiede un'interazione dell'utente così improbabile che il rischio statistico è quasi nullo.

Ma attenzione a non cadere nella trappola del "tanto non succede nulla". La sicurezza informatica è una partita a scacchi dove l'avversario ha tutto il tempo del mondo per trovare la combinazione giusta.

Strategie di remediation per i punteggi bassi

Se hai deciso che quel cvss low va gestito, non devi necessariamente correre a installare una patch che potrebbe rompere le dipendenze del software. Esistono strade alternative.

La prima è il hardening. Spesso le vulnerabilità basse sono legate a configurazioni di default insicure o servizi inutilizzati rimasti attivi. Disattivare ciò che non serve riduce la superficie d'attacco senza dover attendere l'aggiornamento del vendor.

La seconda è il monitoraggio. Se sai che esiste una falla Low che permette, ad esempio, di generare troppi log riempiendo il disco (un Denial of Service molto leggero), puoi impostare un alert specifico per quell'evento. Non hai risolto il bug, ma hai tolto l'effetto sorpresa all'attaccante.

L'errore comune dei team di sicurezza

C'è una tendenza pericolosa a considerare il CVSS come un sistema binario: Critico = Pericolo / Low = Sicuro. Questo approccio è l'ideale per chi vuole dormire tranquillo, ma non per chi deve proteggere davvero i dati.

Molti team di sicurezza si concentrano solo sulla "estinzione degli incendi", ovvero le vulnerabilità Critical che fanno notizia. Ma gli attaccanti più sofisticati (come quelli delle APT) preferiscono spesso muoversi silenziosamente attraverso falle Low e Medium, proprio perché sanno che non attireranno l'attenzione dei sistemi di monitoraggio focalizzati sui grandi picchi.

Spostarsi verso un modello di Risk-Based Vulnerability Management significa smettere di guardare solo il numero e iniziare a guardare il contesto. Chiediti: "Se questa falla venisse sfruttata, dove porterebbe l'attaccante?"

Se la risposta è "da nessuna parte", allora puoi tranquillamente mettere quel ticket in fondo alla coda. Se invece la risposta è "gli darebbe un indizio su come scalare i privilegi", quel Low ha appena cambiato colore.

Sintesi per l'operatore

Il CVSS Low non è un invito a rilassarsi, ma un invito ad analizzare. Non è una misura della pericolosità assoluta, ma della difficoltà di esecuzione e dell'impatto teorico.

La prossima volta che vedi un punteggio basso nel tuo report, non chiudere la scheda. Prendi due minuti per capire se quella falla può essere l'anello di una catena più lunga. Solo così puoi dire di avere davvero il controllo della tua infrastruttura.

La sicurezza non è fatta di grandi muri, ma di migliaia di piccoli dettagli che funzionano insieme.