Aumento de la transparencia de vulnerabilidades con ADP del proveedor

Desde 2024, la Agencia de Security de la Infraestructura y Cybersecurity (CISA) ha implementado el programa “Vulnrichment” para enriquecer los datos de CVE con información adicional. El objetivo es dar contexto adicional y ayudar a los defensores a evaluar el riesgo específico de estas vulnerabilidades. Cada CVE de cve.org o github tiene un contenedor de publicación de datos autorizado (ADP) donde se almacenan estos datos.

Como siguiente nivel, Siemens PSIRT abogaba por una mayor extensión de esto: Proveedor-ADP (SADP), que se puso a piloto en los últimos meses y finalmente se presentó en abril de 2026. El SADP es útil si un proveedor como Siemens quiere agregar información a una vulnerabilidad, que se origina en una dependencia ascendente.

Como ejemplo, podemos tomar CVE-2025-47809. Esta vulnerabilidad se origina en Wibu CodeMeter y tiene una puntuación CVSS de 8,2. Siemens lanzó dos avisos para esto, a saber SSA-201595 y SSA-331739 para informar a los clientes y proveedores de escáneres de seguridad que ciertos productos Siemens utilizan este componente y heredan la vulnerabilidad. Sin embargo, algunas personas no siguen directamente los avisos de Security de Siemens y toman su información, por ejemplo, de cve.org, y ahora también pueden estar informados.

Con el enfoque SADP actual, esperamos que los escáneres de vulnerabilidad puedan aumentar las tasas de “verdaderos positivos” para los productos Siemens afectados. En el futuro, cuando Siemens se expanda para incorporar datos de productos “conocidos no afectados” en SADP (información actualmente disponible solo a través de avisos de seguridad y CSAF), esperamos que el número de “falsos positivos” baje. Los “falsos positivos” ocurren cuando se instalan componentes vulnerables en un sistema, pero la vulnerabilidad no se puede explotar.