Аналитический обзор стандарта Common Vulnerability Scoring System версии 4.0

Введение

Common Vulnerability Scoring System (CVSS) — открытый стандарт для оценки степени опасности уязвимостей, разработанный Национальным консультативным советом по инфраструктуре США (National Infrastructure Advisory Council, NIAC).

На сегодняшний день сложно переоценить важность этого стандарта: он используется почти в каждой организации, где есть процесс управления уязвимостями, благодаря которому, в свою очередь, обеспечивается результативная кибербезопасность. Именно поэтому необходимо, чтобы специалисты центра противодействия киберугрозам могли рассчитать уровень опасности уязвимостей.

Первого октября 2023 г. была опубликована новая, четвертая версия стандарта, которая имеет немало отличий и призвана заменить предшествующую. Именно обновленному стандарту и будет посвящен этот аналитический обзор, в котором мы познакомимся с нововведениями, сравним его с предыдущей версией и даже сделаем пробные расчеты.

Сравнение версий CVSS 3.1 и CVSS 4.0

В новой версии стандарта CVSS изменилась номенклатура. В отличие от предшествующей, в которой было три группы метрик, новая версия стандарта может похвастаться аж четырьмя группами метрик: базовых (CVSS-B), угроз (CVSS-T), окружения (CVSS-E) и дополнительных.

Группы метрик Рисунок 1. Группы метрик

Группа базовых метрик (CVSS-B) представляет собой внутренние характеристики уязвимости, которые постоянны во времени и в разных пользовательских средах. Она состоит из двух наборов показателей: показатели возможности эксплуатации и показатели воздействия. Показатели возможности эксплуатации отражают простоту и технические средства, с помощью которых можно проэксплуатировать уязвимость. Показатели воздействия отражают прямые последствия успешного эксплойта для уязвимой системы или для других систем, взаимодействующих с уязвимой.

Важно упомянуть и про возможность измерения воздействия уязвимости на другие системы. За это отвечала метрика Scope, или «Область воздействия», которая была ключевым нововведением в CVSS v3.0, но вызывала очень много споров. В CVSS v4.0 разработчики стандарта решили эту проблему следующим образом: существующие метрики определения влияния стали отвечать только за уязвимую систему, а в случае изменения области воздействия в дело вступает новая подгруппа метрик, отвечающая за влияние на последующие системы.

Новая подгруппа метрик, отвечающая за влияние на последующие системы Рисунок 2. Новая подгруппа метрик, отвечающая за влияние на последующие системы

Метрики угрозы (CVSS-T), которые ранее были известны как временные метрики, в новой версии стандарта приобрели несколько другое назначение. Теперь они напрямую отражают возможность эксплуатации уязвимости (например, подтверждение того, что уязвимость ранее не эксплуатировалась и что в общем доступе нет эксплойтов или инструкций ее эксплуатации) без учета информации о существовании уязвимости и наличия ее исправления. При этом значения, определенные в этой группе метрик, все так же могут меняться со временем.

Обновленные временные метрики Рисунок 3. Обновленные временные метрики (метрики угрозы)

Метрики окружения (CVSS-E) представляют собой характеристики уязвимости, которые уникальны для конкретной среды функционирования. Они позволяют формировать итоговую оценку в зависимости от важности затронутого ИТ-актива, измеряемой с точки зрения конфиденциальности, целостности и доступности. Кроме того, в данной группе присутствуют модифицированные эквиваленты базовых метрик. Им присваиваются значения в зависимости от размещения системы в инфраструктуре организации и функционирующих мер защиты информации.

Одно из самых крупных нововведений — это группа дополнительных показателей, которые позволяют описать контекст уязвимости, а также описать и измерить ее дополнительные внешние атрибуты. Все метрики в пределах этой группы не имеют никакого влияния на итоговую оценку CVSS. Они просто передают дополнительные внешние характеристики самой уязвимости и могут использоваться специалистами по информационной безопасности.

Дополнительные метрики Рисунок 4. Дополнительные метрики

Примеры расчета уровня опасности уязвимостей

Вероятно, самый животрепещущий вопрос — как изменилась оценка уязвимостей с приходом новой, четвертой версии стандарта CVSS? Чтобы ответить, необходимо провести пробные расчеты опасности уязвимостей по версиям 3.1 и 4.0 и наглядно проиллюстрировать, какая разница будет между двумя оценками.

Удаленное выполнение кода в Microsoft Exchange

В качестве первого подопытного возьмем уязвимость в программных продуктах Microsoft Exchange, которая позволяет злоумышленнику, действующему удаленно, выполнить произвольный код путем отправки специально созданного запроса. Уязвимость была обнаружена в 2023 году, имеет идентификатор CVE-2023-21707 и очень часто встречается в информационных системах.

По CVSS версии 3.1 эта уязвимость оценена в 8,8 балла и имеет следующую векторную строку: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Расчет по CVSS версии 4.0:

Метрика	Оценка	Комментарий
Вектор атаки (AV)	Сетевой	Уязвимая система доступна из удаленных сетей
Сложность атаки (AC)	Низкая	Никаких специальных условий или продвинутых знаний не требуется
Требования к атаке (AT)	Нет	Требования к атаке отсутствуют
Требуемые привилегии (PR)	Низкие	Злоумышленник должен иметь учетную запись в Microsoft Exchange
Взаимодействие с пользователем (UI)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никакого взаимодействия с пользователем
Влияние на конфиденциальность (VC)	Высокое	Злоумышленник может выполнить произвольный код в уязвимой системе с повышенными привилегиями и повлиять на конфиденциальность информации, обрабатываемой в системе
Влияние на целостность (VI)	Высокое	Злоумышленник может выполнить произвольный код в уязвимой системе с повышенными привилегиями и повлиять на целостность информации, обрабатываемой в системе
Влияние на доступность (VA)	Высокое	Злоумышленник может выполнить произвольный код в уязвимой системе с повышенными привилегиями и повлиять на доступность информации, обрабатываемой в системе
Влияние на конфиденциальность следующей системы (SC)	Нет	Уязвимость не оказывает влияния на конфиденциальность следующей системы
Влияние на целостность следующей системы (SI)	Нет	Уязвимость не оказывает влияния на целостность следующей системы
Влияние на доступность следующей системы (SA)	Нет	Уязвимость не оказывает влияния на доступность следующей системы

По CVSS v4.0 эта уязвимость оценена в 8,7 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N.

Итоговая сравнительная таблица уязвимости CVE-2023-21707:

Версия стандарта	Оценка	Векторная строка
CVSS 3.1	8,8	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0	8,7	CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Таким образом, оценка практически не изменилась — отличие между оценками составляет 0,1 балла.

Удаленное выполнение кода в «1С-Битрикс»

В качестве второго подопытного возьмем уязвимость в одном из самых распространенных ПО в России. Уязвимость в программном продукте «1С-Битрикс» позволяет злоумышленнику, действующему удаленно, выполнить произвольный код в операционной системе уязвимого узла. Эта уязвимость была обнаружена в 2023 году, имеет идентификатор BDU:2023-05857.

По CVSS версии 3.1 уязвимость оценена в 9 баллов и имеет следующую векторную строку: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H.

Расчет по CVSS версии 4.0:

Метрика	Оценка	Комментарий
Вектор атаки (AV)	Сетевой	Уязвимая система доступна из удаленных сетей
Сложность атаки (AC)	Низкая	Никаких специальных условий или продвинутых знаний не требуется
Требования к атаке (AT)	Присутствуют	Для успешной эксплуатации уязвимости необходимо выиграть гонку
Требуемые привилегии (PR)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никаких привилегий
Взаимодействие с пользователем (UI)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никакого взаимодействия с пользователем
Влияние на конфиденциальность (VC)	Нет	Уязвимость не оказывает влияния на конфиденциальность уязвимой системы
Влияние на целостность (VI)	Низкое	Злоумышленник через состояние гонки может загрузить веб-шелл в веб-приложение
Влияние на доступность (VA)	Нет	Уязвимость не оказывает влияния на доступность уязвимой системы
Влияние на конфиденциальность следующей системы (SC)	Высокое	Злоумышленник может выполнить произвольный код с повышенными привилегиями в операционной системе, на базе которой функционирует «1С-Битрикс», и повлиять на конфиденциальность информации, обрабатываемой в системе
Влияние на целостность следующей системы (SI)	Высокое	Злоумышленник может выполнить произвольный код с повышенными привилегиями в операционной системе, на базе которой функционирует «1С-Битрикс», и повлиять на целостность информации, обрабатываемой в системе
Влияние на доступность следующей системы (SA)	Высокое	Злоумышленник может выполнить произвольный код с повышенными привилегиями в операционной системе, на базе которой функционирует «1С-Битрикс», и повлиять на доступность информации, обрабатываемой в системе

По CVSS версии 4.0 эта уязвимость оценена в 7,1 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:H.

Итоговая сравнительная таблица уязвимости BDU:2023-05857:

Версия стандарта	Оценка	Векторная строка
CVSS 3.1	9,0	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS 4.0	7,1	CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:H

Мы видим сильное уменьшение оценки — на 1,9 балла. Такое изменение связано с тем, что в новой версии стандарта влияние на последующие системы оценивается ниже, чем влияние на уязвимую систему.

Уязвимость, приводящая к удаленному выполнению кода в SICAM PAS

В качестве следующего примера разберем, насколько опасно получение возможности удаленного выполнения кода (RCE) на сервере через встроенный SQL-сервер. Уязвимость, позволяющая совершить такую атаку, была обнаружена в 2022 году, имеет идентификатор CVE-2022-43724.

По CVSS версии 3.1 такая уязвимость оценивается в 10 баллов и имеет следующую векторную строку: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Расчет по CVSS версии 4.0:

Метрика	Оценка	Комментарий
Вектор атаки (AV)	Сетевой	Уязвимая система доступна из удаленных сетей
Сложность атаки (AC)	Низкая	Никаких специальных условий или продвинутых знаний не требуется
Требования к атаке (AT)	Нет	Требования к атаке отсутствуют
Требуемые привилегии (PR)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никаких привилегий
Взаимодействие с пользователем (UI)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никакого взаимодействия с пользователем
Влияние на конфиденциальность (VC)	Высокое	Злоумышленник получает доступ к базе данных уязвимой системы
Влияние на целостность (VI)	Нет	Уязвимость не оказывает влияния на целостность уязвимой системы
Влияние на доступность (VA)	Нет	Уязвимость не оказывает влияния на доступность уязвимой системы
Влияние на конфиденциальность следующей системы (SC)	Высокий	Злоумышленник может выполнить произвольный код с повышенными привилегиями в операционной системе, на базе которой функционирует SQL Server, и повлиять на конфиденциальность информации, обрабатываемой в системе
Влияние на целостность следующей системы (SI)	Высокий	Злоумышленник может выполнить произвольный код с повышенными привилегиями в операционной системе, на базе которой функционирует SQL Server, и повлиять на целостность информации, обрабатываемой в системе
Влияние на доступность следующей системы (SA)	Высокий	Злоумышленник может выполнить произвольный код с повышенными привилегиями в операционной системе, на базе которой функционирует SQL Server, и повлиять на доступность информации, обрабатываемой в системе

По CVSS версии 4.0 эта уязвимость оценена в 9,3 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H.

Итоговая сравнительная таблица уязвимости CVE-2022-43724:

Версия стандарта	Оценка	Векторная строка
CVSS 3.1	10	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS 4.0	9,3	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H

Мы видим, что оценка уменьшилась на 0,7 балла, но опасность уязвимости так и осталась на критическом уровне.

Использование словарных паролей

В качестве следующего примера посчитаем степень опасности для уязвимостей конфигурации, связанных с использованием словарных паролей в системах, доступных из внешних сетей. Этот пример интересен тем, что он затрагивает измененные метрики «Сложность атаки» и «Требования к атаке», в связи с чем оценка, полученная по CVSS версии 4.0, может сильно отличаться от оценки, полученной по CVSS версии 3.1.

По CVSS версии 3.1, если словарный пароль подобран для учетной записи, не имеющей никаких привилегий в системе, оценка составит 5,6 балла и будет иметь следующую векторную строку: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L. Если учетная запись имеет привилегии в системе, влияние на уязвимую систему резко возрастает, и оценка уязвимости составит 8,1 балла, а векторная строка примет следующий вид: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H.

Расчет по версии CVSS 4.0:

Метрика	Оценка	Комментарий
Вектор атаки (AV)	Сетевой	Уязвимая система доступна из удаленных сетей
Сложность атаки (AC)	Низкая	Никаких специальных условий или продвинутых знаний не требуется
Требования к атаке (AT)	Нет	Требования к атаке отсутствуют
Требуемые привилегии (PR)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никаких привилегий
Взаимодействие с пользователем (UI)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никакого взаимодействия с пользователем
Влияние на конфиденциальность (VC)	Низкое/Высокое	Злоумышленник получает доступ к уязвимой системе и может повлиять на конфиденциальность информации, обрабатываемой в системе, путем выполнения произвольного кода с низкими или высокими привилегиями в зависимости от привилегий учетной записи, к которой был подобран словарный пароль
Влияние на целостность (VI)	Низкое/Высокое	Злоумышленник получает доступ к уязвимой системе и может повлиять на целостность информации, обрабатываемой в системе, путем выполнения произвольного кода с низкими или высокими привилегиями в зависимости от привилегий учетной записи, к которой был подобран словарный пароль
Влияние на доступность (VA)	Низкое/Высокое	Злоумышленник получает доступ к уязвимой системе и может повлиять на доступность информации, обрабатываемой в системе, путем выполнения произвольного кода с низкими или высокими привилегиями в зависимости от привилегий учетной записи, к которой был подобран словарный пароль
Влияние на конфиденциальность следующей системы (SC)	Нет	Уязвимость не оказывает влияния на конфиденциальность следующей системы
Влияние на целостность следующей системы (SI)	Нет	Уязвимость не оказывает влияния на целостность следующей системы
Влияние на доступность следующей системы (SA)	Нет	Уязвимость не оказывает влияния на доступность следующей системы

По CVSS версии 4.0 для учетной записи с низкими привилегиями уязвимость оценивается в 6,9 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N. Для учетной записи с высокими привилегиями оценка принимает значение 9,3 балла, а векторная строка — следующий вид: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Итоговая сравнительная таблица уязвимостей конфигурации, связанных с использованием словарных паролей в системах, доступных из внешних сетей:

Версия стандарта	Оценка	Векторная строка
CVSS 3.1 для учетной записи с низкими привилегиями	5,6	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
CVSS 3.1 для учетной записи с высокими привилегиями	8,1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0 для учетной записи с низкими привилегиями	6,9	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
CVSS 4.0 для учетной записи с высокими привилегиями	9,3	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Подводя итог, мы видим, что оценка изменилась на 1,2 балла для учетных записей с высокими привилегиями и на 1,3 балла для учетных записей с низкими привилегиями. Это связано с тем, что новые метрики «Сложность атаки» и «Требования к атаке» в CVSS v4.0 не учитывают необходимость проведения разведки для получения входных данных для эксплуатации подобной уязвимости, в связи с чем сложность эксплуатации таких уязвимостей ниже, а уровень опасности выше.

Локальное повышение привилегий в системах Linux

Следующий пример — уязвимость, связанная с неправильной обработкой числа аргументов в коде pkexec; она позволяет атакующему, который каким-либо образом смог аутентифицироваться на уязвимом узле, поднять свои привилегии до root и получить полный контроль над уязвимой системой. Эта уязвимость была обнаружена в 2021 году, имеет идентификатор CVE-2021-4034.

По CVSS версии 3.1 уязвимость оценена в 7,8 балла и имеет следующую векторную строку: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Расчет по CVSS версии 4.0:

Метрика	Оценка	Комментарий
Вектор атаки (AV)	Локальный	Злоумышленник должен иметь локальный доступ к уязвимой системе
Сложность атаки (AC)	Низкая	Никаких специальных условий или продвинутых знаний не требуется
Требования к атаке (AT)	Нет	Требования к атаке отсутствуют
Требуемые привилегии (PR)	Низкие	Злоумышленник должен авторизоваться в системе с минимальными правами доступа
Взаимодействие с пользователем (UI)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никакого взаимодействия с пользователем
Влияние на конфиденциальность (VC)	Высокое	Злоумышленник получает максимальные привилегии в системе и может влиять на конфиденциальность обрабатываемой в ней информации
Влияние на целостность (VI)	Высокое	Злоумышленник получает максимальные привилегии в системе и может влиять на целостность обрабатываемой в ней информации
Влияние на доступность (VA)	Высокое	Злоумышленник получает максимальные привилегии в системе и может влиять на доступность обрабатываемой в ней информации
Влияние на конфиденциальность следующей системы (SC)	Нет	Уязвимость не оказывает влияния на конфиденциальность следующей системы
Влияние на целостность следующей системы (SI)	Нет	Уязвимость не оказывает влияния на целостность следующей системы
Влияние на доступность следующей системы (SA)	Нет	Уязвимость не оказывает влияния на доступность следующей системы

По версии CVSS 4.0 данная уязвимость оценена в 8,5 балла и имеет следующую векторную строку: CVSS:4.0/ AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N.

Итоговая сравнительная таблица уязвимости CVE-2021-4034:

Версия стандарта	Оценка	Векторная строка
CVSS 3.1	7,8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0	8,5	CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Интересно, что метрики этой уязвимости остались неизменными, однако оценка увеличилась на весомые 0,7 балла и уровень опасности остался высоким.

Уязвимость протокола NTLM, используемая для атаки PetitPotam

Следующий пример связан с перенаправлением аутентификационных данных по протоколу NTLM. Уязвимость, позволяющая совершить атаку типа NTLM Relay, была обнаружена в 2021 году и получила идентификатор CVE-2021-36942.

По CVSS версии 3.1 опасность такой уязвимости оценивается в 5,3 балла, а векторная строка имеет следующий вид: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N.

Расчет по CVSS версии 4.0:

Метрика	Оценка	Комментарий
Вектор атаки (AV)	Сетевой	Уязвимая система доступна из удаленных сетей
Сложность атаки (AC)	Низкая	Никаких специальных условий или продвинутых знаний не требуется
Требования к атаке (AT)	Нет	Требования к атаке отсутствуют
Требуемые привилегии (PR)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никаких привилегий
Взаимодействие с пользователем (UI)	Нет	Для успешной эксплуатации уязвимости злоумышленнику не требуется никакого взаимодействия с пользователем
Влияние на конфиденциальность (VC)	Нет	Уязвимость не оказывает влияния на конфиденциальность уязвимой системы
Влияние на целостность (VI)	Низкое	Уязвимость оказывает низкое влияние на целостность информации, обрабатываемой в уязвимой системе
Влияние на доступность (VA)	Нет	Уязвимость не оказывает влияния на доступность уязвимой системы
Влияние на конфиденциальность следующей системы (SC)	Нет	Уязвимость не оказывает влияния на конфиденциальность следующей системы
Влияние на целостность следующей системы (SI)	Нет	Уязвимость не оказывает влияния на целостность следующей системы
Влияние на доступность следующей системы (SA)	Нет	Уязвимость не оказывает влияния на доступность следующей системы

По CVSS версии 4.0 данная уязвимость оценена в 6,9 балла и имеет следующую векторную строку: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N.

Итоговая сравнительная таблица уязвимости CVE-2021-36942:

Версия стандарта	Оценка	Векторная строка
CVSS 3.1	5,3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVSS 4.0	6,9	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

В новой версии стандарта мы видим увеличение оценки на 1,6 балла, при этом уровень опасности остается средним.

Итоги

На основании пробных расчетов опасности уязвимостей можно сделать вывод, что более детальные базовые метрики CVSS v4.0 в некоторых случаях дают оценки, значительно отличающиеся от оценок в предыдущей версии стандарта. Однако все же главное преимущество CVSS v4.0 — более явный акцент на том, что при оценке уязвимостей крайне важно учитывать инфраструктуру и окружение, в которых функционирует уязвимый компонент.

Конечно, с точки зрения оператора уязвимой системы такой подход более рационален. Ведь если проэксплуатировать критически опасную уязвимость в его системе сложно, учитывая расположение уязвимой системы в ИТ-инфраструктуре, а также функционирующую систему защиты информации, то, возможно, стоит уделить внимание другим уязвимостям, эксплуатация которых будет более проста для злоумышленника.

Но с другой стороны, стоит посмотреть на компании, предоставляющие услуги по информационной безопасности (например, работы по тестированию на проникновение). Ввиду того, что большинство таких работ проводится методом черного ящика, у специалистов нет достаточных знаний об инфраструктуре заказчика и, соответственно, нет возможности просчитать все метрики по CVSS версии 4.0. Поэтому они, как и раньше, будут использовать только базовые метрики. Конечно, они могут сделать поправку на возможность эксплуатации из метрик угроз. Однако, учитывая, что эти метрики носят непостоянный характер, вероятность их использования крайне мала.

Когда же состоится переход сообщества специалистов по ИБ к использованию стандарта CVSS v4.0? Прогнозируем, что такой переход произойдет не раньше, чем это сделают мировые авторитетные организации, такие как MITRE, NIST и другие. Скорее всего, это произойдет уже в следующем, 2024 году.