TP 1 : Evaluation de vulnérabilités Cloud avec le système CVSS

Les rapports du TP doivent être déposés dans Classroom.

Objectifs du TP
L'objectif de ce TP est de faire l’évaluation des vulnérabilités de sécurité. Les deux principales
exigences sont premièrement, ces vulnérabilités doivent être liées au cloud et deuxièmement,
elles doivent avoir une métrique CVSS v3. On utilisera pour cela différents outils tels que CVSS
v3, CVE (Common Vulnerabilities and Exposures), la base nationale des vulnérabilités NVD.

Introduction
Qu'est-ce que CVSS ?
Common Vulnerability Scoring System (CVSS) est un système d'évaluation standardisé de la
criticité des vulnérabilités selon des critères objectifs et mesurables. Cette évaluation est
constituée de 3 mesures appelées métriques : la métrique de base, la métrique temporelle et la
métrique environnementale.

Le système CVSS permet de saisir les principales caractéristiques d'une vulnérabilité et de

produire un score numérique reflétant sa gravité. Le score numérique peut ensuite être traduit
en une représentation qualitative (par exemple faible, moyenne, élevée et critique) pour aider
les organisations à évaluer correctement et à hiérarchiser leurs processus de gestion de la
vulnérabilité. (Pour plus d’informations, voir le cours)

Qu'est-ce que CVE ?

CVE est l'abréviation de Common Vulnerabilities and Exposures (Vulnérabilités et expositions
courantes), initiative commune de plusieurs entreprises de technologie de sécurité de pointe.
Elle vise à compiler et tenir à jour une liste standardisée des noms des vulnérabilités et autres
expositions de sécurité des informations. La norme d'appellation CVE facilite la recherche,
l'accès et le partage de données dans les bases de données de vulnérabilités et les outils de
sécurité.

Qu'est-ce que NVD ?

La base de données nationale de vulnérabilité, NVD fournit des métriques basées sur CVSS
pour toutes les entrées CVE. Donc, pour chaque CVE, il y a un NVD pour un CVE, il y en a un
pour chacun. Comme toute base de données, la NVD a un objectif particulier. Certaines
vulnérabilités apparaissent ici, d'autres non. La NVD répertorie les vulnérabilités et les produits
ou systèmes logiciels distincts contrôlés par un fournisseur ou une équipe open source. L'équipe
doit reconnaître la vulnérabilité pour qu'elle soit répertoriée. Cela connecte le rapport NVD au
processus de correctif logiciel. On ne doit pas publier la vulnérabilité tant que le correctif n'a
pas été publié. Une façon dont nous comptons les vulnérabilités est en termes de nombre de
correctifs nécessaires pour fermer la faille de sécurité. Certaines violations peuvent impliquer
plusieurs vulnérabilités. On se concentre également sur les systèmes installés contrôlés par le

Prof. Ahmed EL-YAHYAOUI

PAGE 1
client. Donc, si une vulnérabilité spécifique au site apparaît dans, par exemple, Instagram ou E-
bay, il se peut qu'elle ne contienne pas d'entrée dans NVD.

Exercice 1 : Exemple d’évaluation de CVE-2019-9945

Il s’agit d’un exercice solutionné d’une vulnérabilité Cloud, CVE-2019-9945, à l’instar de cet
exemple vous devez résoudre l’exercice suivant.

1. Ouvrir la base NVD depuis le lien : https://nvd.nist.gov/vuln/search et chercher la

vulnérabilité suivante :

CVE/NVD Entry ID: CVE-2019-9945

2. S’assurer que son vecteur CVSS v3 est donné par :

CVSS v3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

3. Quelle est la date de publication de cette vulnérabilité par la base NVD?

4. C’est quoi son score de base ? sa criticité ?

Bref résumé de la vulnérabilité (dans vos propres mots)

Un attaquant avec une connectivité de couche 3 peut visiter le centre de stockage SoftNAS
Cloud et se faire passer pour un utilisateur connecté en fournissant un cookie arbitraire.
L'attaquant peut effectuer des actions administratives et exécuter des commandes arbitraires à
distance.

Liens vers l’information

 https://nvd.nist.gov/vuln/detail/CVE-2019-9945
 https://www.softnas.com/wp/overview/
Pourquoi cette vulnérabilité est-elle liée au cloud ?

SoftNAS Cloud est décrit par le fournisseur comme étant un produit de stockage de données dans le cloud.

Valeur du vecteur Pourquoi

AV - Attack SoftNAS est accessible via une interface Web, qui est un protocole de
Vector:Network couche 3.

AC - Attack L'interface Web de SoftNAS est toujours disponible et la vulnérabilité est

Complexity:Low toujours présente.

PR - Privileges L'attaquant peut être n'importe quel utilisateur du réseau (couche 3) non
Required:None authentifié avec un navigateur Web pouvant atteindre le SoftNAS.

Prof. Ahmed EL-YAHYAOUI

PAGE 2
 UI - User L’interface Web SoftNAS répond elle-même aux requêtes de l’attaquant
Interaction:None sans autre intervention de l’utilisateur.

S - Scope: Unchanged L'attaque fournit un accès complet au device SoftNAS mais pas à d'autres
devices sur les réseaux connectés.

C - Confidentiality: High L'attaquant peut s'autoriser l'accès pour récupérer toutes les données
stockées sur le SoftNAS.

I - Integrity: High L'attaquant peut s'autoriser l'accès pour modifier toutes les données
stockées sur le SoftNAS.

A- Availability: High L'attaquant peut supprimer toutes les données stockées sur le SoftNAS.

5. En se basant sur le tableau ci-dessus, recalculer le score de base de cette vulnérabilité

depuis le calculateur CVSS accessible via ce lien :
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
6. Quelles sont les versions SoftNas affectées par cette vulnérabilité ?
7. C’est quoi la solution proposée à cette vulnérabilité ?

Exercice 2 : Utiliser CVSS pour évaluer une vulnérabilité

récente dans le cloud.
Pour cet exercice, vous localiserez une vulnérabilité de sécurité orientée cloud récemment
signalée, examinerez son entrée dans la base de données nationale sur les vulnérabilités (NVD)
et expliquerez pourquoi ses métriques de base CVSS lui ont été attribuées. Les informations
dont vous avez besoin peuvent résider entièrement dans le rapport NVD, ou vous devrez peut-
être consulter d'autres rapports sur la vulnérabilité provenant d'autres sources.
Une fois que vous avez terminé votre rapport de vulnérabilité, vous passerez en revue un rapport
de l’un de vos collègues et évaluerez dans quelle mesure il justifie efficacement les mesures
CVSS pour la vulnérabilité choisie.

Critères de révision
La tâche est notée avec un tableau qui passe en revue les éléments des métriques de base CVSS
en termes de vulnérabilité spécifique analysée.

Sélection de la vulnérabilité
Commencez avec un moteur de recherche. Recherchez une vulnérabilité récente qui affecte le
cloud computing. Assurez-vous de pouvoir expliquer pourquoi la vulnérabilité est pertinente
pour le cloud computing.
Les rapports de vulnérabilité dans la presse technique incluront souvent le numéro CVE
approprié. Si ce n'est pas le cas, recherchez sur le Web en utilisant des mots clés propres à cette
vulnérabilité et les acronymes CVE et / ou NVD. Identifiez la vulnérabilité aussi précisément
que possible. Par exemple, si les variantes affectent deux ou trois packages différents,

Prof. Ahmed EL-YAHYAOUI

PAGE 3
concentrez-vous sur l'un des packages. Assurez-vous de signaler une vulnérabilité qui a une
entrée NVD et CVE.
Certaines attaques reposent sur des vulnérabilités génériques qui peuvent ne pas avoir de
numéro CVE récent. Par exemple, un rapport en août 2019 a révélé qu'un attaquant pouvait
prendre le contrôle d'un compte Instagram en déclenchant une réinitialisation du mot de passe,
puis en essayant tous les codes de validation à 6 chiffres possibles. Il n'y a pas de numéro CVE
pour cette vulnérabilité Instagram, qui a depuis été corrigée. Les vulnérabilités « récemment
découvertes » peuvent également ne pas avoir de numéro CVE attribué. Dans tous les cas, si la
vulnérabilité n'a pas de numéro CVE, choisissez une autre vulnérabilité.
L'entrée NVD contient une brève description technique, le score CVSS et des liens vers d'autres
rapports sur cette vulnérabilité. Si vous trouvez l'entrée CVE à la place, cliquez sur le lien «En
savoir plus sur le NVD». Cela fait apparaître l'entrée NVD.

Travail demandé
1. Indiquez le numéro CVE de la vulnérabilité examinée. Utilisez le format standard
CVE-yyyy-nnnn.
2. Donnez le vecteur CVSS version 3.
3. Décrivez brièvement la vulnérabilité dans vos propres mots.
4. Fournissez également une liste de liens Web vers les informations utilisées dans ce
rapport.
5. Expliquez pourquoi cette vulnérabilité est liée au cloud.
6. Quelle est la valeur AV - Attack Vector - pour cette vulnérabilité ?
7. Expliquez pourquoi la valeur AV - Attack Vector - attribuée à cette vulnérabilité est
appropriée.
8. Quelle est la valeur AC - Attack Complexity - pour cette vulnérabilité ?
9. Expliquez pourquoi la valeur AC - Complexité d'attaque - attribuée à cette
vulnérabilité est appropriée.
10. Quelle est la valeur PR - Privilèges requis - pour cette vulnérabilité ?
11. Expliquez pourquoi la valeur PR attribuée - Privilèges requis - pour cette vulnérabilité
est appropriée.
12. Quelle est la valeur UI - User Interaction - pour cette vulnérabilité?
13. Expliquez pourquoi la valeur UI - Interaction utilisateur - affectée à cette vulnérabilité
est appropriée.
14. Quelle est la valeur S - Scope - de cette vulnérabilité?
15. Expliquez pourquoi la valeur S - Scope - attribuée à cette vulnérabilité est appropriée.
16. Quel est l 'impact C - Confidentialité - de cette vulnérabilité?
17. Expliquez pourquoi l'impact C - Confidentialité - attribué à cette vulnérabilité est
approprié.
18. Quel est l 'impact I - Intégrité - de cette vulnérabilité?
19. Expliquez pourquoi l'impact I - Intégrité - attribué à cette vulnérabilité est approprié.
20. Quel est l 'impact A - Availability - pour cette vulnérabilité?
21. Expliquez pourquoi l'impact A - Availability - attribué à cette vulnérabilité est
approprié.

Prof. Ahmed EL-YAHYAOUI

PAGE 4