Αύξηση της διαφάνειας ευπάθειας με προμηθευτή-ADP

Από το 2024, η Υπηρεσία Ασφάλειας Κυβερνοασφάλειας και Υποδομών (CISA) έχει εφαρμόσει το πρόγραμμα «Vulnrichment» για τον εμπλουτισμό των δεδομένων CVE με πρόσθετες πληροφορίες. Ο στόχος είναι να δοθεί πρόσθετο πλαίσιο και να βοηθηθούν οι υπερασπιστές στην αξιολόγηση του συγκεκριμένου κινδύνου αυτών των τρωτών σημείων. Κάθε CVE από cve.org ή το github διαθέτει ένα κοντέινερ εξουσιοδοτημένου εκδότη δεδομένων (ADP) όπου αποθηκεύονται αυτά τα δεδομένα.

Ως επόμενο επίπεδο, η Siemens PSIRT υποστήριζε μια περαιτέρω επέκταση αυτού: Προμηθευτής-ADP (SADP), το οποίο δοκιμάστηκε τους τελευταίους μήνες και τελικά εισήχθη τον Απρίλιο του 2026. Το SADP είναι χρήσιμο εάν ένας προμηθευτής όπως η Siemens θέλει να προσθέσει πληροφορίες σε μια ευπάθεια, η οποία προέρχεται από μια εξάρτηση προς τα άνω ρεύμα.

Για παράδειγμα, μπορούμε να πάρουμε CVE-2025-2884. Αυτή η ευπάθεια προέρχεται από το TCG TPM2.0 και έχει βαθμολογία CVSS 6,6. Η Siemens δημοσίευσε μια συμβουλή για αυτό, συγκεκριμένα SSA-628843 για την ενημέρωση των πελατών και των προμηθευτών για σαρωτές ασφαλείας ότι ορισμένα προϊόντα της Siemens χρησιμοποιούν αυτό το στοιχείο και κληρονομούν την ευπάθεια. Ωστόσο, ορισμένα άτομα δεν ακολουθούν απευθείας τις συμβουλές ασφαλείας της Siemens και παίρνουν τις πληροφορίες τους π.χ. από cve.org Και τώρα μπορούν να ενημερωθούν και αυτοί.

Με την τρέχουσα προσέγγιση SADP, αναμένουμε ότι οι σαρωτές ευπάθειας μπορούν να αυξήσουν τα «πραγματικά θετικά» ποσοστά για τα επηρεαζόμενα προϊόντα της Siemens. Στο μέλλον, όταν η Siemens επεκταθεί για να ενσωματώσει δεδομένα προϊόντων «γνωστο-μη επηρεασμένων» στο SADP (πληροφορίες διαθέσιμες επί του παρόντος μόνο μέσω συμβουλών ασφαλείας και CSAF), αναμένουμε ότι ο αριθμός των «ψευδώς θετικών» στοιχείων θα μειωθεί. Τα «ψευδή θετικά» εμφανίζονται όταν εγκαθίστανται ευάλωτα στοιχεία σε ένα σύστημα, αλλά η ευπάθεια δεν μπορεί να αξιοποιηθεί.