Q&A
あるシステムにアカウントロックがない場合、CVSSで評価することは可能でしょうか?
アカウントロックがない場合、辞書攻撃等のパスワードクラックの攻撃を受けますが、最終的にはユーザのID/パスワードの組み合わせを当てないと攻撃は成立しません(DoS的な攻撃とはいえるかもしれませんが)。
CVSSの評価項目をみると、あくまで攻撃が成立した場合が前提であるような気がし、アカウントロックがない等のそれ単独では攻撃が成立しない脆弱性は評価できないのではないかと考えました。
これらはCVSSで表すことができるのでしょうか?
回答1件
0
ベストアンサー
アカウントロック不備はCWE-307が割り当てられています(Improper Restriction of Excessive Authentication Attempts (過度な認証試行の不適切な制限))。で、CWE-307が割り当てられている脆弱性を調べてみると、たとえば、CVE-2020-14484があります。
OpenClinic GA versions 5.09.02 and 5.89.05b may allow an attacker to bypass the system’s account lockout protection, which may allow brute force password attacks.
アカウントロックをバイパスできると説明されていますが、この脆弱性のCVSSv3は9.8(Critical)です(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。CWE-307の他の脆弱性も、調べた範囲では同じでした…まぁ、同じでないと、それはそれでおかしいわけですが。
率直に言って9.8なわけないと思うわけですが、機械的にCVSSを適用するとそうなってしまいます。ご指摘のように「あくまで攻撃が成立した場合が前提」となっているように見受けます。
本来的に言えば、パスワード認証の本筋は良質のパスワードをつけることであり、アカウントロックは緩和策に過ぎないわけですから、それが「ないこと」をもってCVSS 9.8というのはめちゃくちゃですが、さりとて、適当にパラメータを操作して「らしい」値にすることも好ましくないと思います。
ということで、私見としては、アカウントロックが「ないこと」をCVSSで評価することは無理があり、好ましくないと思います。
投稿2020/12/28 09:40
編集2020/12/28 10:05
総合スコア11705
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/12/28 10:01