韌體分析能找出韌體元件的弱點。 這些結果有助於你了解潛在的安全風險,但你應該在適當的情境下謹慎解讀。
本文說明了你在韌體分析結果中可能會看到的弱點相關欄位。 它說明了這些領域之間的關聯,以及如何共同評估以有效優先排序風險。
備註
韌體分析中存在弱點或常見漏洞與暴露(CVE)漏洞,並不一定代表裝置有漏洞。 弱點的實際影響取決於受影響元件在系統中的使用方式。
韌體分析中的弱點訊號
韌體分析能透過多種業界標準訊號來提升發現。 每個訊號代表不同的風險面向,不應孤立解讀。
常見漏洞與暴露(CVE)
CVE是公開揭露的已知安全漏洞。 當識別出匹配的韌體元件時,韌體分析會將 CVE 與擷取的韌體元件關聯起來。 單一韌體元件可能與多個 CVE 相關聯,且同一個 CVE 可能同時出現在多個裝置或元件之間。
CVE 會凸顯問題,但不只是反映問題的影響或可被利用性。
欲了解更多關於 CVE 及 CVE 計畫的資訊,請參閱 MITRE 維護的官方 《通用漏洞與暴露文件 》。
CVSS 評分與版本
韌體分析可能會顯示CVE的通用漏洞評分系統(CVSS)資料。
同一 CVE 可能會出現多個 CVSS 版本:
- CVSS v2:適用於較早期漏洞的傳統評分。
- CVSS v3:廣泛採用的標準,並改進了指標。
- CVSS v4:新增的版本,新增了更多維度。
由於漏洞評分隨時間演變,CVSS 有多個版本。 看到一個 CVE 有多個版本,並不代表存在多個明顯的漏洞。
CVSS 分數描述的是技術嚴重程度,而非現實世界中被利用的可能性。
欲了解更多關於 CVSS 評分及版本差異的資訊,請參閱 FIRST 維護的官方通用 漏洞評分系統(CVSS)文件 。
CVSS 向量
除了數值分數外,CVSS 結果還包含一條向量字串,描述影響分數的因素,例如:
- 所需存取層級
- 攻擊複雜度。
- 對保密性、完整性及可用性的影響。
向量提供了更多背景,例如影響 CVE 嚴重程度評等的條件與影響因子。
關於 CVSS 向量字串及度量意義的完整說明,請參閱 FIRST 發布的 CVSS 規範 。
關於 CVE 的 CVSS 分數與向量如何發布範例,請參閱美國國家標準與技術研究院(NIST)國家漏洞資料庫(NVD)。
美國網路安全和基礎設施安全局 (CISA) 已知被利用漏洞(KEV)
部分 CVE 可能被標記為資安與基礎設施安全局(CISA)已知被利用漏洞(KEV)目錄的一部分。 此指定表示該漏洞在現實情境中已被積極利用。
備註
- KEV 狀態反映的是觀察到的利用活動,而非特定裝置是否受影響。
- 韌體分析中的 KEV 狀態目前為靜態值。 它反映了掃描時韌體分析 CVE 資料庫的狀態。 這個數值不會動態更新。 要查看最 up-to-date 的 KEV 狀態,請重新掃描你的韌體映像檔。
KEV是強烈的即時風險信號。
有關權威的 KEV 狀態與修復指引,請參閱 CISA 已知被利用漏洞目錄。
EPSS
韌體分析可能包括漏洞預測評分系統(EPSS)資料,該資料用以估算漏洞被利用的可能性。
可能會有兩個相關的數值:
- EPSS 分數:根據觀察到的脆弱性生態系統趨勢,估計的利用可能性。
- EPSS 百分位數:分數與其他漏洞的比較。
這些數值提供比較風險背景,但不保證一定被利用。
要在 Azure 入口網站中依 EPSS 篩選,請以小數形式指定 EPSS 分數。 例如,若為 EPSS 分數,請以 >50% 篩選 >0.5。
百分位排名通常在操作上更具實用性,因為它們顯示CVE相較於整體漏洞生態系統的排名。
備註
EPSS值目前為固定。 它反映了掃描時韌體分析 CVE 資料庫的狀態。 這個數值不會動態更新。 若要查看最新的 EPSS 狀態,請重新掃描您的韌體映像檔。
EPSS 提供前瞻性的可能性訊號,而非利用的保證。
關於 EPSS 分數與百分位數的計算細節,請參閱 FIRST 維護的 Exploit Prediction Scoreing System 文件 。
CWE
共通弱點列舉(Common Weakness Enluction,簡稱 CWE)代表導致漏洞的底層弱點類別(例如緩衝區溢位或輸入驗證不當),而非特定漏洞實例。
CWE 識別碼透過描述漏洞存在的原因,而不僅僅是漏洞發生的位置,提供更多背景說明。
CWE 識別碼具有資訊性,應用於了解根本原因,而非優先排序。
備註
CWE 資料反映出 MITRE 通用弱點列舉專案所定義的標準化弱點分類。 CWE 識別碼僅具資訊性,並不代表特定裝置或韌體映像的可利用性或影響。
欲了解更多關於CWE定義與分類的資訊,請參閱官方 MITRE CWE文件。
漏洞成熟度
漏洞利用成熟度描述的是某個漏洞之利用程式目前的可用現況。 分類可以包含以下標籤:
- 未經證實
- 概念證明
- 功能性利用
- 武器化利用
當漏洞利用的成熟度資訊存在時,通常會與 CVSS v4 評分一同出現。 這是在 FIRST 維護的 CVSS 規範 中有描述的。
整合弱點數據
每個弱點訊號代表不同的觀點:
- CVE:漏洞是什麼。
- CVSS:技術嚴重度與影響。
- KEV:有積極剝削的證據。
- EPSS:近期開發的可能性。
- 漏洞利用成熟度:漏洞利用技術的可用性。
- CWE:潛在弱點類別。
與其依賴單一場域,將這些訊號合併評估,能更全面地了解潛在風險。
推薦的優先排序評估順序
有效的優先排序不僅需要嚴重程度評分。 以下結構化模型說明如何整體評估弱點資料。 這種做法是指引,而非規範性規則。
確認利用狀態(KEV):
- 將 KEV 列出的弱點視為最高優先事項。
- 不要只根據 CVSS 分數降級 KEV 項目。
你應該先評估已確認的漏洞利用情況,再採用任何評分指標。
評估漏洞成熟度:
- 提升對弱點的優先權,並利用功能性或武器化漏洞。
- 結合漏洞成熟度與暴露特性。
漏洞被利用的機會增加了現實世界的風險。
評估剝削可能性(EPSS):
- 利用 EPSS 來區分嚴重程度相近的漏洞。
- 百分位排名通常比原始分數更具實際價值。
- 結合EPSS與KEV並善用成熟度。
EPSS 為優先順序決策加入機率脈絡。
備註
要在 Azure 入口網站中依 EPSS 篩選,請以小數形式指定 EPSS 分數。 例如,若為 EPSS 分數,請以
>50%篩選>0.5。檢視攻擊向量與曝光度。 從CVSS向量,考慮:
- 網路可存取的漏洞與本地或實體存取的差異。
- 認證與使用者互動需求。
- 受影響的元件或服務是否在部署中暴露。
漏洞看似嚴重,但若實務中無法取得,風險較低。
評估技術影響嚴重度(CVSS)。 使用 CVSS 來了解漏洞一旦遭成功利用時的影響(而非其可能性):
- 高或重大嚴重性:當曝險程度或可能性為中等或更高時,應優先處理。
- 中等嚴重度:根據利用訊號和暴露情況優先排序。
- 低嚴重性:除非存在遭到實際利用或曝險程度高的情況,否則應降低處理優先順序。
當兩個漏洞發生的機率相近時,應先處理影響較大的漏洞。
評估業務影響。 判斷資產是否關鍵取決於組織情境,並包括:
- 無論是系統是生產環境還是核心基礎設施。
- 可能對營運、安全或合規造成影響。
業務影響會左右緊迫性,但不會改變漏洞機制。
考慮固定的可用性。 修復可行性影響執行規劃。 評估:
- 修補程式或韌體更新的可用性。
- 升級複雜度。
- 可用的緩解措施。
修正可用性應作為排程依據,但不應凌駕於利用證據之上。
重要考慮
應該將弱點資料與其他資料一同解讀:
裝置角色與暴露情況。
系統配置。
平台內的韌體使用情況。
備註
韌體分析是根據擷取的韌體內容來識別潛在風險。 它無法判斷漏洞在特定部署中是否可被觸及、可利用或有影響力。
欲進一步了解韌體分析如何擷取並呈現元件資料,請參閱 韌體分析中「從 SBOM 視圖解讀擷取器路徑」。