Aumentando a transparência da vulnerabilidade com o fornecedor ADP

Desde 2024, a Cybersecurity and Infrastructure Security Agency (CISA) implementou o programa “Vulnrichment” para enriquecer os dados do CVE com informações adicionais. O objetivo é fornecer contexto adicional e ajudar os defensores a avaliar o risco específico dessas vulnerabilidades. Cada CVE de cve.org ou o github tem um contêiner de Publicador de Dados Autorizado (ADP) onde esses dados são armazenados.

Como próximo nível, a Siemens PSIRT estava defendendo uma extensão adicional disso: o Fornecedor-ADP (SADP), que foi testado nos últimos meses e finalmente introduzido em abril de 2026. O SADP é útil se um fornecedor como a Siemens quiser adicionar informações a uma vulnerabilidade, que se origina em uma dependência inicial.

Como exemplo, podemos pegar o CVE-2025-47809. Essa vulnerabilidade se origina no Wibu CodeMeter e tem uma pontuação CVSS de 8,2. A Siemens divulgou dois avisos para isso, a saber SSA-201595 e SSA-331739 para informar aos clientes e fornecedores de scanners de segurança que determinados produtos da Siemens usam esse componente e herdam a vulnerabilidade. No entanto, algumas pessoas não seguem o Siemens Security Advisories diretamente e não obtêm suas informações, por exemplo, do site cve.org — e agora também podem ser informadas.

Com a abordagem atual do SADP, esperamos que os scanners de vulnerabilidade possam aumentar as taxas de “verdadeiros positivos” dos produtos afetados da Siemens. No futuro, quando a Siemens se expandir para incorporar dados de produtos “conhecidos e não afetados” ao SADP (informações atualmente disponíveis apenas por meio de recomendações de segurança e CSAF), esperamos que o número de “falsos positivos” diminua. Os “falsos positivos” ocorrem quando componentes vulneráveis são instalados em um sistema, mas a vulnerabilidade não pode ser explorada.