<div dir="auto">CVSS' greatest attribute is that it lets assessors fudge the numbers to make assessors happy and gives risk people some kind of industry standard document/organization attesting to the risk. Everyone wins. <div dir="auto"><br></div><div dir="auto">It's only when people start asking (valid) questions where things fall apart.</div><div dir="auto"><br></div><div dir="auto">There are two other scoring systems I haven't seen referenced much: NIST's CMSS and Mitre's CWSS. May be worth checking out if you're some kind of risk nerd.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Regards,</div><div dir="auto">Eric</div><br><br><div class="gmail_quote" dir="auto"><div dir="ltr">On Thu, Jan 10, 2019, 12:50 PM Dave Aitel <<a href="mailto:dave.aitel@gmail.com" target="_blank" rel="noreferrer">dave.aitel@gmail.com</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr">Ok, so half of FIRST or the CVSS team is angry at me for my tweets about the examples on FIRST.com being wrong. But here, in general, is a common issue I see with CVSS scores in our deliverables, that I try to correct, although admittedly I'm not an expert at CVSS itself.<div><br></div><div>The issue is simplified to: If an SQLi exists, how does that rank for the CVSS Confidentiality, Integrity, and Availability sections. Like, here's an example: <a href="https://nvd.nist.gov/vuln/detail/CVE-2013-0375" rel="noreferrer noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2013-0375</a> . As you can see there is "low" impact on confidentiality and integrity, and NO impact on availability.<br></div><div><br></div><div>But how can that be correct? The questions you start to ask as you make those decisions are: What user context am I running in on the SQL Server (i.e. sa?) and what does that user have access to in terms of tables, and what importance is that information? Also what clause is the injection running in the SQL statement itself? Does this database support sub-queries such that I can alter information? Are there functions that do things with side effects I can call? Answering these questions is complex and possibly dependent on configuration and the CVSS way is to assume the worst, which cannot POSSIBLY BE "LOW".</div><div><br></div><div>And at a minimum, you would expect possible Availability issues to be high, because anyone who's played with an SQL injection tool knows that even doing SLEEP statements has a tendency to take down web applications. Imagine if your goal was to take down a web application with an SQLi...? I think Microsoft Research did a whole paper on doing SQL Injection timing attacks just with random function calls? I can't find it now though.</div><div><br></div><div>Ok, so that brings us to XSS and "HTTPOnly" and the FIRST.org assessment: <a href="https://www.first.org/cvss/examples#1-phpMyAdmin-Reflected-Cross-site-Scripting-Vulnerability-CVE-2013-1937" rel="noreferrer noreferrer" target="_blank">https://www.first.org/cvss/examples#1-phpMyAdmin-Reflected-Cross-site-Scripting-Vulnerability-CVE-2013-1937</a></div><div><br></div><div>I've never run phpMyAdmin, and I've certainly never tried to use BeEF with a XSS in an attack against it. But you'd have to imagine that it would work fine to drive the interface, and that interface looks like it has a full "<a href="https://www.youtube.com/watch?v=0jjnlpSGB1Y" rel="noreferrer noreferrer" target="_blank">execute any SQL statement</a>" section in it. Also usually with this sort of program you have a whole "install add-on" interface, which if driven at the administrator level, is RCE. I don't consider that two bugs, because "installing an add-on" is the functionality admin users need to have and it's completely built-in. </div><div><br></div><div>So the question is: Can phpMyAdmin be driven AS IF FROM THE ADMIN by this XSS (aka, is the proper CVSS score an 11?) I would guess yes. Or, am I completely wrong, and the impact is quite limited? </div><div><br></div><div>-dave</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Jan 10, 2019 at 9:59 AM toby <<a href="mailto:toby00@gmail.com" rel="noreferrer noreferrer" target="_blank">toby00@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I'm going to nitpick this. Not because your complaints about CVSS are bad, just that they are unsupported and insufficiently explained.</div><br><div class="gmail_quote"><div dir="ltr">On Tue, Jan 8, 2019 at 8:23 AM Dave Aitel <<a href="mailto:dave.aitel@cyxtera.com" rel="noreferrer noreferrer" target="_blank">dave.aitel@cyxtera.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">




<div dir="ltr">
<div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619divtagdefaultwrapper" style="font-size:12pt;color:rgb(0,0,0);font-family:Calibri,Helvetica,sans-serif" dir="ltr">
<p style="margin-top:0px;margin-bottom:0px">I wanted to take a few minutes and do a quick highlight of a paper from CMU-CERT which I think most people have missed out on: <a href="https://resources.sei.cmu.edu/asset_files/WhitePaper/2018_019_001_538372.pdf" class="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619OWAAutoLink" id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPlnk432222" rel="noreferrer noreferrer" target="_blank">https://resources.sei.cmu.edu/asset_files/WhitePaper/2018_019_001_538372.pdf</a></p>
<div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPBorder_GT_15469630031460.183622448101032" style="margin-bottom:20px;overflow:auto;width:100%;text-indent:0px">
<table id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPContainer_15469630031410.7814532219479569" cellspacing="0" style="width:90%;background-color:rgb(255,255,255);overflow:auto;padding-top:20px;padding-bottom:20px;margin-top:20px;border-top:1px dotted rgb(200,200,200);border-bottom:1px dotted rgb(200,200,200)">
<tbody>
<tr valign="top" style="border-spacing:0px">
<td id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619TextCell_15469630031430.4920052779439892" colspan="2" style="vertical-align:top;padding:0px;display:table-cell">
<div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPRemovePreviewContainer_15469630031430.19212764500547808"><a id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPlnk47344" class="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619ms-Icon--x m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619ms-icon-font-size-14 m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619OWAAutoLink" style="font-family:wf_segoe-ui_normal,"Segoe UI","Segoe WP",Tahoma,Arial,sans-serif;font-weight:normal;padding:8px;float:right;color:rgb(102,102,102);background-color:rgb(249,242,252);margin-left:10px" rel="noreferrer noreferrer"></a></div>
<div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPTitle_15469630031430.5656392074504" style="color:rgb(105,9,139);font-weight:400;font-size:21px;font-family:wf_segoe-ui_light,"Segoe UI Light","Segoe WP Light","Segoe UI","Segoe WP",Tahoma,Arial,sans-serif;line-height:21px">
<a id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPUrlAnchor_15469630031440.3834621873971975" href="https://resources.sei.cmu.edu/asset_files/WhitePaper/2018_019_001_538372.pdf" style="text-decoration:none" rel="noreferrer noreferrer" target="_blank">Towards Improving CVSS - resources.sei.cmu.edu</a></div>
<div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPMetadata_15469630031440.623748296566867" style="margin:10px 0px 16px;color:rgb(102,102,102);font-weight:400;font-family:wf_segoe-ui_normal,"Segoe UI","Segoe WP",Tahoma,Arial,sans-serif;font-size:14px;line-height:14px">
<a href="http://resources.sei.cmu.edu" rel="noreferrer noreferrer" target="_blank">resources.sei.cmu.edu</a></div>
<div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPDescription_15469630031450.5530823382524725" style="display:block;color:rgb(102,102,102);font-weight:400;font-family:wf_segoe-ui_normal,"Segoe UI","Segoe WP",Tahoma,Arial,sans-serif;font-size:14px;line-height:20px;max-height:100px;overflow:hidden">
SOFTWARE ENGINEERING INSTITUTE | CARNEGIE MELLON UNIVERSITY REV-03.18.2016.0 Distribution Statement A: Approved for Public Release; Distribution Is Unlimited TOWARDS IMPROVING CVSS</div>
</td>
</tr>
</tbody>
</table>
</div>
It's almost as funny a read as their previous best work on how "<a href="https://www.kb.cert.org/vuls/id/261869/" class="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619OWAAutoLink" id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619LPlnk522980" rel="noreferrer noreferrer" target="_blank">clientless HTTPS VPNs are insanely dumb</a> what were you thinking omg?"
<div><br>
</div>
<div>They use a ton of big words in the paper to call CVSS out and give it a shellacking. Like most of you, we have extensive use of CVSS in our consulting practice and I've seen this stuff first hand. CVSS is of course just a buggy compression algorithm for
 taking complex qualitative data and then putting it on a number line. The paper has three angles here: </div>
<div>
<ol style="margin-bottom:0px;margin-top:0px">
<li><span style="font-size:12pt"></span>Qualitative mappings into quantitative numbers are a silly thing to do, like people trying to do "social science" by using SurveyMonkey.</li></ol></div></div></div></blockquote><div><br></div><div><br></div><div>A. I have been smacking people who try to pretend that qualitative measurements are made better by wrapping them in numbers for 15 years. I completely agree.</div><div><br></div><div>Second. We use numbers to represent qualitative values to enable reasoning. You can't multiply High * Medium * Low but you can multiply 5 * 3 * 1. That's not turning qualitative data into quantitative data it is just providing a short cut to think about qualitative data.</div><div><br></div><div>Finally. Social sciences when done right are collecting quantitative data about qualitative data so Survey Monkey is actually useful from that perspective. We will set aside the problem of selection bias due to access and interest in participation for the moment. The point stands; a single person's assessment of a qualitative thing is not data. 10,000 people's assessment of that qualitative thing is data.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619divtagdefaultwrapper" style="font-size:12pt;color:rgb(0,0,0);font-family:Calibri,Helvetica,sans-serif" dir="ltr"><div><ol style="margin-bottom:0px;margin-top:0px"><li>We're pretty sure that the compression algorithm is not, in fact, putting higher risk items as bigger numbers, which is the whole point of the thing.  </li><li>Nobody is applying this in any sort of consistent way (which is probably impossible) which is ALSO the whole point of the thing.</li></ol>
</div>
<div><br>
</div>
<div>It's fine to have a lossy compression algorithm that emphasizes certain aspects of the input signal over others, of course, but an additional CERT/CC critique is we have no reason to think CVSS does this in any useful way. <br></div></div></div></blockquote><div><br></div><div>1. By definition every compression algorithm emphasizes certain aspects of the signal over others. In this case you are complaining that the parts that are emphasized are not the ones you think are important.</div><div>B. That's completely reasonable. Offer me an alternative. Seriously, I'm not a fan of CVSS but I haven't seen a better alternative to a complete memory dump and description of all the consequences beyond that. So give me an alternative or grab me at the next conference and ply me with drinks and conversation and we can debate it.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619divtagdefaultwrapper" style="font-size:12pt;color:rgb(0,0,0);font-family:Calibri,Helvetica,sans-serif" dir="ltr"><div>
<p style="margin-top:0px;margin-bottom:0px"><br>
</p>
<p style="margin-top:0px;margin-bottom:0px">There's definitely people in the CVSS process (who I will avoid calling out by name) who think ANY quantization is good. But read the paper and decide for yourself - because these are probably serious issues that are
 turning your entire risk org into a Garbage-In-Garbage-Out org...</p></div></div></div></blockquote><div><br></div><div>That I cannot agree more with.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div id="m_-6944971249544566607m_-2280207767342689697gmail-m_-5117324122859515727gmail-m_3463265021637175619divtagdefaultwrapper" style="font-size:12pt;color:rgb(0,0,0);font-family:Calibri,Helvetica,sans-serif" dir="ltr"><div>
<p style="margin-top:0px;margin-bottom:0px"><br>
</p>
<p style="margin-top:0px;margin-bottom:0px">-dave</p>
<p style="margin-top:0px;margin-bottom:0px"><br>
</p>
</div>
</div>
</div>

_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com" rel="noreferrer noreferrer" target="_blank">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer noreferrer noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</blockquote></div></div>
_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com" rel="noreferrer noreferrer" target="_blank">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer noreferrer noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</blockquote></div>
_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com" rel="noreferrer noreferrer" target="_blank">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer noreferrer noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</blockquote></div></div>