Αύξηση της διαφάνειας ευπάθειας με προμηθευτή-ADP

Από το 2024, η Υπηρεσία Ασφάλειας Κυβερνοασφάλειας και Υποδομών (CISA) έχει εφαρμόσει το πρόγραμμα «Vulnrichment» για τον εμπλουτισμό των δεδομένων CVE με πρόσθετες πληροφορίες. Ο στόχος είναι να δοθεί πρόσθετο πλαίσιο και να βοηθηθούν οι υπερασπιστές στην αξιολόγηση του συγκεκριμένου κινδύνου αυτών των τρωτών σημείων. Κάθε CVE από cve.org ή Γκιθμπ διαθέτει ένα κοντέινερ εξουσιοδοτημένου εκδότη δεδομένων (ADP) όπου αποθηκεύονται αυτά τα δεδομένα.

Ως επόμενο επίπεδο, η Siemens PSIRT υποστήριζε μια περαιτέρω επέκταση αυτού: Το προμηθευτή-ADP (SADP), το οποίο δοκιμάστηκε τους τελευταίους μήνες και τελικά εισήχθη τον Απρίλιο του 2026. Το SADP είναι χρήσιμο εάν ένας προμηθευτής όπως η Siemens θέλει να προσθέσει πληροφορίες σε μια ευπάθεια, η οποία προέρχεται από μια εξάρτηση προς τα άνω ρεύμα.

Για παράδειγμα, μπορούμε να πάρουμε το CVE-2025-47809. Αυτή η ευπάθεια προέρχεται από το Wibu CodeMeter και έχει βαθμολογία CVSS 8.2. Η Siemens κυκλοφόρησε δύο συμβουλές για αυτό, συγκεκριμένα SSA-201595 και SSA-331739 για να ενημερώσει τους πελάτες και τους προμηθευτές για σαρωτές ασφαλείας ότι ορισμένα προϊόντα της Siemens χρησιμοποιούν αυτό το στοιχείο και κληρονομούν την ευπάθεια. Ωστόσο, ορισμένοι άνθρωποι δεν ακολουθούν απευθείας τις συμβουλές ασφαλείας της Siemens και παίρνουν τις πληροφορίες τους π.χ. από το cve.org — και τώρα μπορούν επίσης να ενημερωθούν.

Με την τρέχουσα προσέγγιση SADP, αναμένουμε ότι οι σαρωτές ευπάθειας μπορούν να αυξήσουν τα «πραγματικά θετικά» ποσοστά για τα επηρεαζόμενα προϊόντα της Siemens. Στο μέλλον, όταν η Siemens δημοσιεύει επίσης «γνωστά μη επηρεαζόμενα» προϊόντα, αναμένουμε ότι ο αριθμός των «ψευδώς θετικών» θα μειωθεί. Τα «ψευδή θετικά» εμφανίζονται όταν εγκαθίστανται ευάλωτα στοιχεία σε ένα σύστημα, αλλά η ευπάθεια δεν μπορεί να αξιοποιηθεί.