Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A análise de firmware identifica pontos fracos em componentes de firmware. Esses resultados podem ajudá-lo a entender possíveis riscos de segurança, mas você deve interpretá-los com cuidado e no contexto apropriado.
Este artigo explica os campos relacionados à fraqueza que você pode ver nos resultados da análise de firmware. Ele explica como esses campos se relacionam entre si e como avaliá-los coletivamente para priorizar efetivamente o risco.
Observação
A presença de uma vulnerabilidade CVE (Vulnerabilidades e Exposições Comuns) na análise de firmware não significa necessariamente que um dispositivo esteja vulnerável. O impacto real de uma fraqueza depende de como o componente afetado é usado dentro do sistema.
Sinais de fraqueza na análise de firmware
A análise de firmware pode melhorar as descobertas com vários sinais padrão do setor. Cada sinal representa um aspecto diferente do risco e não deve ser interpretado isoladamente.
Vulnerabilidades e exposições comuns (CVE)
CvEs são vulnerabilidades de segurança conhecidas que são divulgadas publicamente. A análise de firmware associa CVEs a componentes de firmware extraídos quando uma correspondência é identificada. Um único componente de firmware pode estar associado a vários CVEs e um único CVE pode aparecer em vários dispositivos ou componentes.
Os CVEs destacam um problema, mas não indicam apenas o impacto ou a explorabilidade do problema.
Para obter mais informações sobre CVEs e o programa CVE, consulte a documentação oficial de Vulnerabilidades e Exposições Comuns que o MITRE mantém.
Pontuações e versões do CVSS
A análise de firmware pode exibir dados do CVSS (Common Vulnerability Score System) para um CVE.
Várias versões do CVSS podem aparecer para o mesmo CVE:
- CVSS v2: pontuação legada relativa a vulnerabilidades mais antigas.
- CVSS v3: padrão amplamente adotado com métricas aprimoradas.
- CVSS v4: versão mais recente que apresenta dimensões extras.
Há várias versões do CVSS porque a pontuação de vulnerabilidade evoluiu ao longo do tempo. Ver várias versões para um CVE não significa que haja várias vulnerabilidades distintas.
As pontuações do CVSS descrevem a gravidade técnica, não a probabilidade real de exploração.
Para obter mais informações sobre as diferenças de pontuação e versão do CVSS, consulte a documentação oficial do CVSS (Common Vulnerability Score System) que a FIRST mantém.
Vetor CVSS
Além de uma pontuação numérica, o resultado do CVSS inclui uma string de vetor que descreve os fatores que contribuem para a pontuação, como:
- Nível de acesso necessário.
- Complexidade de ataque.
- Impacto na confidencialidade, integridade e disponibilidade.
O vetor fornece mais contexto, como as condições e fatores de impacto que contribuem para a classificação de gravidade de uma CVE.
Para obter uma explicação completa de cadeias de caracteres de vetor CVSS e significados de métrica, consulte a especificação CVSS publicada pela FIRST.
Para obter exemplos de como as pontuações e vetores do CVSS são publicados para CVEs, consulte o NVD (Banco de Dados Nacional de Vulnerabilidades) do NIST (National Institute of Standards and Technology).
"Vulnerabilidades Exploradas Conhecidas pela CISA (KEV)"
Alguns CVEs podem ser marcados como pertencentes ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA (Agência de Segurança Cibernética e de Segurança de Infraestrutura). Essa designação indica que a vulnerabilidade é conhecida por ser explorada ativamente em cenários do mundo real.
Observação
- O status KEV reflete a atividade de exploração observada, e não se um dispositivo específico é afetado.
- O status KEV na análise de firmware atualmente é um valor estático. Ele reflete o estado do banco de dados CVE de análise de firmware no momento em que a verificação foi realizada. Esse valor não é atualizado dinamicamente. Para ver o status de KEV mais atualizado, faça uma nova varredura da imagem do firmware.
KEV é um forte sinal de risco imediato.
Para obter orientações oficiais sobre status e correção de KEV, consulte o catálogo de vulnerabilidades exploradas conhecidas da CISA.
EPSS
A análise de firmware pode incluir dados do EPSS (Exploit Prediction Score System), que estima a probabilidade de uma vulnerabilidade ser explorada.
Dois valores relacionados podem aparecer:
- Pontuação do EPSS: a probabilidade estimada de exploração com base nas tendências observadas em todo o ecossistema de vulnerabilidades.
- Percentil do EPSS: como a pontuação se compara em relação a outras vulnerabilidades.
Esses valores fornecem contexto de risco comparativo, mas não garantem a exploração.
Para filtrar por EPSS no portal Azure, especifique a pontuação do EPSS em uma forma decimal. Por exemplo, para uma pontuação de EPSS de >50%, filtre para >0.5.
As classificações de percentil geralmente são mais úteis operacionalmente, pois mostram como uma CVE se classifica em relação ao ecossistema de vulnerabilidades mais amplo.
Observação
O valor do EPSS está estático no momento. Ele reflete o estado do banco de dados CVE de análise de firmware no momento em que a verificação foi realizada. Esse valor não é atualizado dinamicamente. Para visualizar o status mais atualizado do EPSS, faça uma nova varredura da sua imagem de firmware.
O EPSS fornece um sinal de probabilidade prospectiva, não uma garantia de exploração.
Para obter detalhes sobre como as pontuações e percentis do EPSS são calculados, consulte a documentação do Sistema de Pontuação de Previsão de Exploração que o FIRST mantém.
CWE
A CWE (Common Weakness Enumeration) representa a classe de fraqueza subjacente (por exemplo, estouro de buffer ou validação de entrada inadequada) que levou a uma vulnerabilidade, em vez de uma instância de vulnerabilidade específica.
Os identificadores CWE fornecem mais contexto descrevendo por que existe uma vulnerabilidade, não apenas onde ela ocorre.
Os identificadores CWE são informativos e devem ser usados para entender as causas raiz e não para a priorização.
Observação
Os dados CWE refletem classificações de fraqueza padronizadas definidas pelo projeto de Enumeração de Fraqueza Comum do MITRE. Os identificadores CWE são informativos e não indicam explorabilidade ou impacto em um dispositivo específico ou imagem de firmware por si só.
Para obter mais informações sobre definições e classificações de CWE, consulte a documentação oficial do MITRE CWE.
Aproveitar a maturidade
A maturidade de exploração descreve o estado atual da disponibilidade de exploração para uma vulnerabilidade. As categorias podem incluir rótulos como:
- Não comprovada
- Prova de conceito
- Exploit funcional
- Exploração armada
Quando há informações sobre a maturidade de exploração, elas normalmente aparecem ao lado da pontuação CVSS v4. Ele é descrito na especificação CVSS que FIRST mantém.
Usando dados de vulnerabilidades juntos
Cada sinal de fraqueza representa uma perspectiva diferente:
- CVE: qual é a vulnerabilidade.
- CVSS: Severidade técnica e impacto.
- KEV: Evidência de exploração ativa.
- EPSS: probabilidade de exploração a curto prazo.
- Maturidade de exploração: disponibilidade de técnicas de exploração.
- CWE: Categoria de fraqueza subjacente.
Em vez de depender de um único campo, avaliar esses sinais juntos fornece uma compreensão mais completa do risco potencial.
Ordem de avaliação recomendada para priorização
A priorização efetiva requer mais do que a pontuação de severidade. O modelo estruturado a seguir ilustra como você pode avaliar de forma holística os dados de fraqueza. Essa abordagem é uma orientação, não um conjunto de regras prescritivas.
Confirmar o status de exploração (KEV):
- Trate as fraquezas listadas em KEV como a prioridade mais alta.
- Não rebaixe itens KEV apenas com base na pontuação CVSS.
Você deve avaliar a exploração comprovada antes de qualquer métrica de pontuação.
Avaliar a maturidade da exploração:
- Eleve a prioridade para pontos fracos com explorações funcionais ou armadas.
- Combine a maturidade do exploit com as características de exposição.
A disponibilidade de exploits aumenta o risco no mundo real.
Avaliar a probabilidade de exploração (EPSS):
- Use o EPSS para diferenciar entre vulnerabilidades com severidade semelhante.
- Classificações percentis são muitas vezes mais acionáveis do que pontuações brutas.
- Combine o EPSS com KEV e explore a maturidade.
O EPSS adiciona contexto de probabilidade às decisões de priorização.
Observação
Para filtrar por EPSS no portal Azure, especifique a pontuação do EPSS em uma forma decimal. Por exemplo, para uma pontuação de EPSS de
>50%, filtre para>0.5.Revise o vetor de ataque e a exposição. No vetor CVSS, considere:
- Vulnerabilidades acessíveis à rede versus acesso local ou físico.
- Requisitos de autenticação e interação do usuário.
- Se o componente ou serviço afetado é exposto na implantação.
Uma vulnerabilidade pode parecer grave, mas, se não estiver acessível na prática, ela apresentará risco reduzido.
Avaliar a gravidade do impacto técnico (CVSS). Use CVSS para entender o impacto se a exploração for bem-sucedida (não a probabilidade):
- Gravidade alta ou crítica: priorize quando a exposição ou a probabilidade for moderada ou superior.
- Gravidade média: priorize com base em indicadores de exploração e exposição.
- Baixa gravidade: despriorize a menos que exista exploração ativa ou alta exposição.
Quando a probabilidade de duas vulnerabilidades for semelhante, resolva as vulnerabilidades de maior impacto primeiro.
Avalie o impacto nos negócios. Determinar se um ativo é crítico reflete o contexto organizacional e inclui:
- Se o sistema é de produção ou infraestrutura principal.
- Potencial impacto operacional, de segurança ou de conformidade.
O impacto nos negócios influencia a urgência, mas não altera a mecânica de vulnerabilidades.
Considere corrigir a disponibilidade. A viabilidade de correção afeta o planejamento de execução. Avaliar:
- Disponibilidade de atualização de patch ou firmware.
- Aumentar a complexidade.
- Mitigações disponíveis.
A correção da disponibilidade deve informar o agendamento, mas não deve substituir as evidências de exploração.
Considerações importantes
Sempre interprete dados de fragilidades ao lado:
Função e exposição do dispositivo.
Configuração do sistema.
Uso de firmware na plataforma.
Observação
A análise de firmware identifica riscos potenciais com base no conteúdo de firmware extraído. Ele não determina se uma vulnerabilidade é acessível, explorável ou impactante em uma implantação específica.
Para saber mais sobre como a análise de firmware extrai e apresenta dados dos componentes, consulte Interpretando caminhos de extração na visualização de SBOM na análise de firmware.