CVSS 评分可控，组合利用后攻击者掌控 13,000 台设备

当前位置：首页
» 科技 » CVSS 评分可控，组合利用后攻击者掌控 13,000 台设备

CVSS 评分可控，组合利用后攻击者掌控 13,000 台设备

在 2024 年 11 月的“月球之窥行动”中，攻击者通过暴露的 Palo Alto Networks 管理界面，在超过 13,000 台设备上获得了未经身份验证的远程管理员权限，并最终获得了 root 权限。

Palo Alto Networks 在 CVSS v4.0 体系下，将 CVE-2024-0012 评分为 9.3，将 CVE-2024-9474 评分为 6.9。而 NVD（国家漏洞数据库）在 CVSS v3.1 体系下，对这两个漏洞的评分分别为 9.8 和 7.2。两种评分体系，对同一漏洞组给出了不同的答案。

6.9 的评分低于修补阈值，似乎需要管理员权限才能利用。9.3 的漏洞则被安排在维护队列中，人们认为网络分段可以抵御风险。

CrowdStrike 对抗敌对行动高级副总裁亚当·迈耶斯在 2026 年 4 月 22 日接受 VentureBeat 独家采访时表示：“攻击者通过组合利用漏洞来绕过（严重性评级）。” 对于未能识别出漏洞链的分诊逻辑，他说：“他们仿佛忘记了 30 秒前发生的事。”

这两个漏洞都位于 CISA（网络安全和基础设施安全局）已知的漏洞利用目录中。但任何一个评分都未能预警这次致命的攻击链。那些评分被用于分诊逻辑，将每个 CVE 视为独立事件。同样，SLA（服务水平协议）仪表盘和其生成的董事会报告也是如此。

CVSS 完全按照其设计目的工作：一次只对一个漏洞进行评分。但问题在于，攻击者不会一次只攻击一个漏洞。

派拉蒙前首席信息安全官、拥有《财富》100强企业安全领导经验的彼得·克洛尼斯写道：“CVSS 基础评分是严重程度的理论衡量标准，它忽略了现实世界的背景。”在派拉蒙，通过超越以 CVSS 为首的优先级排序方法，克洛尼斯报告称，可操作的严重和高危漏洞减少了 90%。

维护 CVSS 的组织 FIRST 的执行董事克里斯·吉布森也同样直接地表示，仅使用 CVSS 基础评分进行优先级排序是“最不恰当、最不准确”的方法，他对 The Register 说。

FIRST 自身的 EPSS（漏洞利用概率评分系统）和 CISA 的 SSVC（严重性评估决策模型）通过增加漏洞利用概率和决策树逻辑，部分弥补了这一差距。

原文链接：https://venturebeat.com/security/cvss-triage-failure-chained-vulnerability-audit-security-directors

关注微信号：智享开源 关注微博：IMCN开源资讯网 ，可及时获取信息

0 0