ช่องโหว่ของระบบคอมพิวเตอร์จะรุนแรงแค่ไหน CVSS จะเป็นคำตอบ

บ่อยครั้งที่เราพบว่ามีช่องโหว่เกิดขึ้น เมื่อได้อ่านรายงานที่แจ้งเข้ามาก็ไม่เข้าใจมีแต่ศัพท์เทคนิคอะไรไม่รู้เต็มไปหมด เช่น Remote Code Execution หรือ Buffer Overflow เป็นต้น ยิ่งอ่านยิ่งงงไม่รู้ว่าช่องโหว่นั้นต้องรีบแก้ไขแค่ไหน จึงได้มีการพัฒนาวิธีการสื่อสารเรื่องช่องโหว่โดยให้เป็นคะแนน (ยิ่งเยอะยิ่งรุนแรง) เรียกว่า Common Vulnerability Scoring System หรือ CVSS นั่นเอง

 CVSS_001.png

เนื่องจากปัญหาเรื่องของการสื่อสารระดับความรุนแรงของช่องโหว่ การกำหนดมาตรฐานในการรายงานความรุนแรง CVSS นั้น จึงได้รับความนิยมเป็นอย่างมาก โดยในปัจจุบันเป็นเวอร์ชัน 4 (ประกาศใช้งานช่วงปลายปี 2023 ที่ผ่านมา) ซึ่งมีการให้คะแนนความรุนแรงจาก 0 ไปจนถึง 10 และมีวิธีการคำนวณคะแนนชัดเจน โดยหลักๆ จะมีการคำนวณจาก 3 ส่วนดังรูป
 CVSS_002.png

  1. Base Metric เป็นข้อมูลความรุนแรงของช่องโหว่นั้น โดยประกอบไปด้วย
    • Exploitability Metrics หรือ ความยากง่ายในการเจาะช่องโหว่
    • Impact Metrics หรือ ผลกระทบจากช่องโหว่
  2. Temporal Metrics หรือเหตุการณ์ในโลกความเป็นจริง มีรายงานการโจมตีที่อาศัยช่องโหว่นี้แล้วหรือไม่ มี Security Patch ออกมาแล้วหรือยัง
  3. Environmental Metrics หรือควาเกี่ยวเนื่องของช่องโหว่กับช่องโหว่อื่นๆ เช่น ช่องโหว่ดังกล่าวหากใช้โจมตีร่วมกับช่องโหว่อันอื่นจะส่งผลกระบทบรุนแรง
สำหรับคะแนนเป็นการจัดระดับ ซึ่งในมุมของผู้ดูแลระบบอาจจะยังไม่เห็นภาพ ผมจึงขอยกตัวอย่างเคสของ Ransomware WannaCry ซึ่งเป็นมัลแวร์ที่โจมตีผ่านช่องโหว่ของระบบปฎิบัติการ Microsoft Windows ผ่านช่องโหว่ “Windows SMB RCE Vulnerability” หรือมีชื่อเรียกว่า “EternalBlue” (มีหมายเลข CVE เป็น CVE-2017-0143) โดยมีคะแนน CVSS ในเวอร์ชัน 3 อยู่ที่ 8.1 ซึ่งถือว่าสูงมาก เนื่องจากช่องโหว่ดังกล่าวสามารถโจมตีผ่านเครือข่ายไปยัง Microsoft Windows ที่ไม่ได้อัปเดทแพทช์ความปลอดภัย (Security Patch) และเมื่อยึดเครื่องได้มัลแวร์จะทำการเข้ารหัสไฟล์บนเครื่องอีกทีหนึ่งนั่นเอง แต่พื้นฐานของมัลแวร์จะอาศัยการโจมตีผ่านข่องโหว่เป็นหลัก หรือแปลง่ายๆ ว่าถ้าผู้ดูแลระบบไม่ได้อัปเดทแพทช์ความปลอดภัยและมีมัลแวร์ถูกแพร่กระจายผ่านทางเครือข่ายเข้ามาก็ติด Ransomware ทันที

อย่าสับสนระหว่าง CVSS และ CVE
เนื่องจากช่องโหว่มีจำนวนมากจึงมีการจัดระเบียบช่องโหว่โดยหน่วยงานกลางที่ชื่อ MITRE Corporation (https://cve.mitre.org) เป็นผู้รวบรวมและลงทะเบียนช่องโหว่โดยมีการเรียกว่า CVE (ย่อมาจาก Common Vulnerabilities and Exposures) นั่นเอง โดยมีรูปแบบเป็น “CVE-ปีที่ประกาศช่องโหว่-ลำดับของช่องโหว่” เช่น CVE-2017-0143 ก็บอกได้ว่าช่องโหว่ดังกล่าวประกาศในปี 2017 เป็นต้น หากสรุปง่ายๆ ก็คือ
1. CVE คือ หมายเลขของช่องโหว่
2. CVSS คือ ระดับความรุนแรงของช่องโหว่ (คะแนนเต็ม 10)
สำหรับเครื่องมือด้านความปลอดภัยไซเบอร์ที่จำหน่ายมักจะมีการอ้างอิง CVE และ CVSS เอาไว้เสมอ ซึ่งหากเราต้องการข้อมูลเพิ่มเติมของช่องโหว่นั้น สามารถนำหมายเลข CVE ดังกล่าวไปค้นหาต่อได้ทันที

บทสรุป
หากได้รับการแจ้งเตือนเรื่องช่องโหว่ ให้พิจารณาคะแนน CVSS ว่าสูงหรือไม่ (ในมุมมองของผม คิดว่าคะแนนเกิน 7 ขึ้นไป และเป็นฟังก์ชันหลักที่เราใช้งาน ให้รีบอัปเดทโดยเร่งด่วน) ในกรณีที่ยังไม่สามารถอัปเดทได้ ทางเจ้าของผลิตภัณฑ์มักจะมีทางเลือกในการช่วยบรรเทาปัญหา (Workaround) ไปได้ ในทางปฎิบัติแนะนำให้อัปเดทจะเป็นการป้องกันปัญหาที่ต้นเหตุนั่นเอง

อ้างอิง: