Aumentar la transparencia de las vulnerabilidades con Supplier-ADP

Desde 2024, la Agencia de Ciberseguridad e Infraestructura (CISA) ha implementado el programa «Vulnrichment» para enriquecer los datos del CVE con información adicional. El objetivo es ofrecer un contexto adicional y ayudar a los defensores a evaluar el riesgo específico de estas vulnerabilidades. Cada CVE de cve.org o github tiene un contenedor de publicador de datos autorizado (ADP) donde se almacenan estos datos.

Como siguiente nivel, el PSIRT de Siemens abogaba por una mayor extensión de esto: el Proveedor: ADP (SADP), que se puso a prueba en los últimos meses y finalmente se introdujo en abril de 2026. El SADP es útil si un proveedor como Siemens quiere añadir información a una vulnerabilidad que se origina en una dependencia ascendente.

Como ejemplo, podemos tomar CVE-2025-2884. Esta vulnerabilidad tiene su origen en el TCG TPM2.0 y tiene una puntuación CVSS de 6,6. Siemens publicó un aviso al respecto, a saber SSA-628843 para informar a los clientes y vendedores de escáneres de seguridad de que algunos productos de Siemens utilizan este componente y heredan la vulnerabilidad. Sin embargo, algunas personas no siguen directamente los avisos de seguridad de Siemens y obtienen su información, por ejemplo, de cve.org — y ahora también pueden estar informados.

Con el enfoque actual del SADP, esperamos que los escáneres de vulnerabilidades puedan aumentar las tasas de «verdaderos positivos» de los productos de Siemens afectados. En el futuro, cuando Siemens se expanda e incorpore datos de productos «conocidos y no afectados» en el SADP (la información actualmente solo está disponible en los avisos de seguridad y la CSAF), esperamos que el número de «falsos positivos» disminuya. Los «falsos positivos» se producen cuando se instalan componentes vulnerables en un sistema, pero la vulnerabilidad no se puede aprovechar.