Haavoittuvuuksien avoimuuden lisääminen toimittaja-ADP: n avulla

Cybersecurity and Infrastructure Security Agency (CISA) on vuodesta 2024 lähtien toteuttanut ”Vulnrichment” -ohjelman rikastaakseen CVE-tietoja lisätiedoilla. Tavoitteena on antaa lisää kontekstia ja auttaa puolustajia arvioimaan näiden haavoittuvuuksien erityistä riskiä. Jokainen CVE: ltä cve.org tai github sillä on valtuutettu tietojen julkaisija (ADP) -säilö, johon nämä tiedot tallennetaan.

Seuraavana tasona Siemens PSIRT kannatti tämän jatkamista: Toimittaja-ADP (SADP), jota pilotoitiin viime kuukausina ja otettiin lopulta käyttöön huhtikuussa 2026. SADP on kätevä, jos Siemensin kaltainen toimittaja haluaa lisätä tietoja haavoittuvuuteen, joka on peräisin ylävirran riippuvuudesta.

Esimerkkinä voidaan ottaa CVE-2025-47809. Tämä haavoittuvuus on peräisin Wibu CodeMeteristä ja sen CVSS-pistemäärä on 8,2. Siemens julkaisi tätä varten kaksi neuvontaa, nimittäin SSA-201595 ja SSA-331739 ilmoittaakseen tietoturvaskannereiden asiakkaille ja toimittajille, että tietyt Siemens-tuotteet käyttävät tätä komponenttia ja perivät haavoittuvuuden. Jotkut ihmiset eivät kuitenkaan seuraa Siemens Security Advisories -ohjeita suoraan ja ottavat heidän tietojaan esimerkiksi cve.org-sivustolta — ja heillekin voi nyt saada tietoa.

Nykyisen SADP-lähestymistavan avulla odotamme, että haavoittuvuusskannerit voivat lisätä Siemens-tuotteiden ”todellisia positiivisia” tasoja. Tulevaisuudessa, kun Siemens julkaisee myös ”tiedossa ei ole vaikutusta” -tuotteita, odotamme ”väärien positiivisten” määrän laskevan. ”Väärät positiiviset” esiintyvät, kun haavoittuvia komponentteja asennetaan järjestelmään, mutta haavoittuvuutta ei voida hyödyntää.