Come analizzare una CVE e capire il punteggio CVSS

Nel precedente articolo abbiamo visto che cos’è una CVE (Common Vulnerabilities and Exposures) e perché è così importante per la sicurezza informatica.
Oggi entriamo un po’ più nel dettaglio: come si analizza una CVE e come si interpreta il suo punteggio di gravità, chiamato CVSS?

Capire questi due elementi è fondamentale non solo per chi lavora nella cyber security, ma anche per le aziende che vogliono valutare il rischio legato alle proprie infrastrutture IT e decidere quali vulnerabilità correggere per prime.

---

Dove trovare le informazioni su una CVE

Ogni CVE è registrata nel database del NIST, chiamato NVD (National Vulnerability Database).
Accedendo al sito https://nvd.nist.gov, è possibile cercare una vulnerabilità semplicemente digitando il suo codice (per esempio CVE-2025-12345).

Una volta aperta la scheda, troverai diversi campi chiave:

• Descrizione: spiega in breve qual è la vulnerabilità e in quale software o versione si trova.

• Vendor e prodotto interessato: utile per capire se il problema riguarda un tuo sistema.

• Data di pubblicazione e aggiornamento: importante per valutare l’attualità del rischio.

• Riferimenti: link a patch, advisory dei vendor o report tecnici.

• CVSS Score: il punteggio che misura la gravità della vulnerabilità.

---

⚙️ Che cos’è il CVSS e a cosa serve

Il CVSS (Common Vulnerability Scoring System) è uno standard internazionale che serve a misurare la gravità di una vulnerabilità informatica.
È gestito dal FIRST (Forum of Incident Response and Security Teams) e adottato ufficialmente dal NIST nel suo database NVD.

Il punteggio va da 0 a 10, dove:

• 0.0 – 3.9 = Basso

• 4.0 – 6.9 = Medio

• 7.0 – 8.9 = Alto

• 9.0 – 10.0 = Critico

Questo valore non è casuale: è il risultato di una formula che tiene conto di diversi fattori tecnici e di contesto.

---

Come viene calcolato il punteggio CVSS

Il CVSS si basa su tre metriche principali:

1️⃣ Base Metrics

Rappresentano la gravità intrinseca della vulnerabilità e restano fisse nel tempo.
Si valutano aspetti come:

• Attack Vector (AV) → quanto è facile sfruttarla (rete, locale, fisico);

• Attack Complexity (AC) → se servono condizioni particolari per l’attacco;

• Privileges Required (PR) → se l’attaccante deve avere accessi preliminari;

• User Interaction (UI) → se serve l’interazione di un utente;

• Confidentiality, Integrity, Availability Impact (CIA) → l’impatto sulla sicurezza dei dati e dei sistemi.

Questi parametri determinano il punteggio base, espresso con due decimali (es. 7.8 High).

2️⃣ Temporal Metrics

Valutano fattori che cambiano nel tempo, come:

• disponibilità di exploit pubblici;

• presenza di patch o mitigazioni;

• livello di fiducia nelle informazioni disponibili.

Una vulnerabilità può quindi passare da “critica” a “media” se nel frattempo è stata corretta.

3️⃣ Environmental Metrics

Permettono alle aziende di adattare il punteggio alla propria realtà.
Per esempio, una vulnerabilità in un server isolato dalla rete può essere considerata meno critica rispetto alla stessa falla su un sistema esposto a Internet.

---

Esempio pratico di analisi

Immaginiamo la CVE CVE-2023-34362, una vulnerabilità nota in MOVEit Transfer.
Nel database NVD viene indicata con un CVSS Score di 9.8 (Critical), perché:

• l’attacco è eseguibile da remoto (Attack Vector: Network);

• non richiede autenticazione (Privileges Required: None);

• impatta fortemente su confidenzialità e integrità dei dati.

Per un’azienda che utilizza quel software, la priorità è immediata: installare la patch e verificare eventuali compromissioni.

---

Perché le aziende dovrebbero monitorare il CVSS

Il punteggio CVSS aiuta a definire le priorità di intervento.
In un contesto dove ogni mese emergono centinaia di nuove CVE, non è realistico correggerle tutte subito: bisogna concentrarsi su quelle con CVSS alto o critico, soprattutto se colpiscono sistemi esposti online.

Monitorare costantemente le CVE tramite il CSIRT Italia o il NVD permette di:

• prevenire attacchi prima che sfruttino falle note;

• ridurre i tempi di reazione;

• mantenere la conformità alle norme di sicurezza (es. GDPR, ISO 27001).

---

In sintesi

Analizzare una CVE e interpretare correttamente il punteggio CVSS non è solo un esercizio tecnico: è una pratica strategica per chiunque gestisca infrastrutture digitali.
Capire quanto una vulnerabilità è grave, quanto è sfruttabile e quanto impatta sul proprio ambiente significa trasformare la sicurezza da reattiva a proattiva.

Nel prossimo articolo vedremo insieme come utilizzare il database NVD e strumenti open source per automatizzare il monitoraggio delle CVE e mantenere alta la sicurezza della tua infrastruttura IT.