Meer transparantie over kwetsbaarheden met leverancier-ADP

Sinds 2024 heeft de Cybersecurity and Infrastructure Security Agency (CISA) het „Vulnrichment” -programma geïmplementeerd om CVE-gegevens te verrijken met aanvullende informatie. Het doel is om extra context te bieden en verdedigers te helpen bij het beoordelen van het specifieke risico van deze kwetsbaarheden. Elke CVE van cve.org of github heeft een Authorized Data Publisher (ADP) -container waarin deze gegevens worden opgeslagen.

Verder pleitte Siemens PSIRT voor een verdere uitbreiding hiervan: de leverancier-ADP (SADP), die in de afgelopen maanden werd getest en uiteindelijk werd geïntroduceerd in april 2026. De SADP is handig als een leverancier zoals Siemens informatie wil toevoegen aan een kwetsbaarheid, die het gevolg is van een stroomopwaartse afhankelijkheid.

Als voorbeeld kunnen we CVE-2025-47809 nemen. Dit beveiligingslek is afkomstig van Wibu CodeMeter en heeft een CVSS-score van 8,2. Siemens heeft hiervoor twee adviezen uitgebracht, namelijk SSA-201595 en SSA-331739, om klanten en leveranciers van beveiligingsscanners te informeren dat bepaalde Siemens-producten dit onderdeel gebruiken en de kwetsbaarheid erven. Sommige mensen volgen de Siemens Security Advisories echter niet rechtstreeks en halen hun informatie bijvoorbeeld van cve.org — en ze kunnen nu ook geïnformeerd worden.

Met de huidige SADP-aanpak verwachten we dat kwetsbaarheidsscanners de „echte positieve” percentages voor getroffen Siemens-producten kunnen verhogen. Als Siemens in de toekomst ook producten publiceert waarvan bekend is dat ze niet beïnvloed zijn, verwachten we dat het aantal „valse positieven” zal dalen. „False positives” doen zich voor wanneer kwetsbare componenten in een systeem worden geïnstalleerd, maar het beveiligingslek kan niet worden misbruikt.