Haavoittuvuuksien avoimuuden lisääminen toimittaja-ADP: n avulla

Cybersecurity and Infrastructure Security Agency (CISA) on vuodesta 2024 lähtien toteuttanut ”Vulnrichment” -ohjelman rikastaakseen CVE-tietoja lisätiedoilla. Tavoitteena on antaa lisää kontekstia ja auttaa puolustajia arvioimaan näiden haavoittuvuuksien erityistä riskiä. Jokainen CVE: ltä cve.org tai githubissa on valtuutettu tietojen julkaisija (ADP) -säiliö, johon nämä tiedot tallennetaan.

Seuraavana tasona Siemens PSIRT kannatti tämän jatkamista edelleen: Toimittaja-ADP (SADP), jota pilotoitiin viime kuukausina ja otettiin lopulta käyttöön huhtikuussa 2026. SADP on kätevä, jos Siemensin kaltainen toimittaja haluaa lisätä tietoja haavoittuvuuteen, joka on peräisin ylävirran riippuvuudesta.

Esimerkkinä voimme ottaa CVE-2025-2884. Tämä haavoittuvuus on peräisin TCG TPM2.0: sta ja sen CVSS-pistemäärä on 6,6. Siemens julkaisi tätä koskevan neuvonnan, nimittäin SSA-628843 ilmoittaa tietoturvaskannereiden asiakkaille ja toimittajille, että tietyt Siemens-tuotteet käyttävät tätä komponenttia ja perivät haavoittuvuuden. Jotkut ihmiset eivät kuitenkaan seuraa Siemens Security Advisories -ohjeita suoraan ja ottavat heidän tietojaan esimerkiksi cve.org Heillekin voi nyt tiedottaa.

Nykyisen SADP-lähestymistavan avulla odotamme, että haavoittuvuusskannerit voivat lisätä Siemens-tuotteiden ”todellisia positiivisia” tasoja. Tulevaisuudessa, kun Siemens laajentaa sisällyttämällä SADP:hen ”tunnettuja tietoja, joita ei ole vaikutettu” (tiedot ovat tällä hetkellä saatavilla vain tietoturvaneuvostojen ja CSAF: n kautta), odotamme ”väärien positiivisten” määrän laskevan. ”Väärät positiiviset” esiintyvät, kun haavoittuvia komponentteja asennetaan järjestelmään, mutta haavoittuvuutta ei voida hyödyntää.