Aumentar a transparência da vulnerabilidade com o Fornecedor-ADP

Desde 2024, a Cybersecurity and Infrastructure Security Agency (CISA) implementou o programa “Vulnrichment” para enriquecer os dados CVE com informações adicionais. O objetivo é dar contexto adicional e ajudar os defensores a avaliar o risco específico destas vulnerabilidades. Cada CVE de cve.org ou o github tem um contentor de Publicador de Dados Autorizado (ADP) onde estes dados são armazenados.

Como nível seguinte, a Siemens PSIRT estava a defender uma extensão adicional deste: O Fornecedor-ADP (SADP), que foi pilotado nos últimos meses e finalmente introduzido em abril de 2026. O SADP é útil se um fornecedor como a Siemens quiser adicionar informações a uma vulnerabilidade, que se origina numa dependência upstream.

Como exemplo, podemos tomar CVE-2025-2884. Esta vulnerabilidade tem origem no TCG TPM2.0 e tem uma pontuação CVSS de 6.6. A Siemens divulgou um comunicado para isso, nomeadamente SSA-628843 informar os clientes e fornecedores de scanners de segurança que certos produtos Siemens utilizam este componente e herdam a vulnerabilidade. No entanto, algumas pessoas não seguem diretamente os Avisos de Security da Siemens e retiram as suas informações, por exemplo, de cve.org — e agora também podem ser informados.

Com a atual abordagem SADP, esperamos que os scanners de vulnerabilidade possam aumentar as taxas “verdadeiramente positivas” para os produtos Siemens afetados. No futuro, quando a Siemens se expandir para incorporar dados de produtos “conhecidos e não afetados” no SADP (informações atualmente disponíveis apenas através de avisos de segurança e CSAF), esperamos que o número de “falsos positivos” diminua. “Falsos positivos” ocorrem quando componentes vulneráveis são instalados num sistema, mas a vulnerabilidade não pode ser explorada.