Øke sårbarhetsinsynligheten med leverandør-ADP

Siden 2024 har Cybersecurity and Infrastructure Security Agency (CISA) implementert «Vulnrichment» -programmet for å berike CVE-data med tilleggsinformasjon. Målet er å gi ytterligere kontekst og hjelpe forsvarere med å vurdere den spesifikke risikoen for disse sårbarhetene. Hver CVE fra cve.org eller github har en Authorized Data Publisher (ADP) beholder der disse dataene lagres.

Som et neste nivå gikk Siemens PSIRT inn for en ytterligere utvidelse av dette: Leverandør-ADP (SADP), som ble pilotert de siste månedene og endelig introdusert i april 2026. SADP er nyttig hvis en leverandør som Siemens ønsker å legge til informasjon til en sårbarhet, som stammer fra en oppstrømsavhengighet.

Som et eksempel kan vi ta CVE-2025-47809. Dette sikkerhetsproblemet stammer fra Wibu CodeMeter og har en CVSS-score på 8,2. Siemens ga ut to råd for dette, nemlig SSA-201595 og SSA-331739 for å informere kunder og leverandører av sikkerhetsskannere om at visse Siemens-produkter bruker denne komponenten og arver sårbarheten. Noen mennesker følger imidlertid ikke Siemens Security Advisories direkte og tar informasjonen deres, for eksempel fra cve.org — og de kan nå også bli informert.

Med den nåværende SADP-tilnærmingen forventer vi at sårbarhetsskannere kan øke de «sanne positive» prisene for berørte Siemens-produkter. I fremtiden, når Siemens også publiserer «kjente ikke berørte» produkter, forventer vi at antallet «falske positiver» vil falle. «Falske positive» oppstår når sårbare komponenter er installert i et system, men sårbarheten kan ikke utnyttes.