Aumentar la transparencia de las vulnerabilidades con Supplier-ADP

Desde 2024, la Agencia de Ciberseguridad e Infraestructura (CISA) ha implementado el programa «Vulnrichment» para enriquecer los datos del CVE con información adicional. El objetivo es ofrecer un contexto adicional y ayudar a los defensores a evaluar el riesgo específico de estas vulnerabilidades. Cada CVE de cve.org o github tiene un contenedor de publicación de datos autorizado (ADP) donde se almacenan estos datos.

Como siguiente nivel, el PSIRT de Siemens abogaba por una nueva extensión de esto: el Supplier-ADP (SADP), que se puso a prueba en los últimos meses y finalmente se introdujo en abril de 2026. El SADP es útil si un proveedor como Siemens quiere añadir información a una vulnerabilidad que se origina en una dependencia ascendente.

Como ejemplo, podemos tomar el CVE-2025-47809. Esta vulnerabilidad tiene su origen en Wibu CodeMeter y tiene una puntuación CVSS de 8,2. Siemens publicó dos avisos al respecto, el SSA-201595 y el SSA-331739, para informar a los clientes y vendedores de escáneres de seguridad de que algunos productos de Siemens utilizan este componente y heredan la vulnerabilidad. Sin embargo, algunas personas no siguen directamente los avisos de seguridad de Siemens ni obtienen su información, por ejemplo, de cve.org, y ahora también pueden estar informadas.

Con el enfoque actual del SADP, esperamos que los escáneres de vulnerabilidades puedan aumentar las tasas de «verdaderos positivos» de los productos de Siemens afectados. En el futuro, cuando Siemens también publique productos «conocidos y no afectados», esperamos que el número de «falsos positivos» disminuya. Los «falsos positivos» se producen cuando se instalan componentes vulnerables en un sistema, pero la vulnerabilidad no se puede aprovechar.