Aumentar a transparência da vulnerabilidade com o Fornecedor-ADP

Desde 2024, a Cybersecurity and Infrastructure Security Agency (CISA) implementou o programa “Vulnrichment” para enriquecer os dados CVE com informações adicionais. O objetivo é dar contexto adicional e ajudar os defensores a avaliar o risco específico destas vulnerabilidades. Cada CVE de cve.org ou github tem um contentor de Publicador de Dados Autorizado (ADP) onde esses dados são armazenados.

Como nível seguinte, a Siemens PSIRT defendia uma extensão adicional deste: O Fornecedor-ADP (SADP), que foi pilotado nos últimos meses e finalmente introduzido em abril de 2026. O SADP é útil se um fornecedor como a Siemens quiser adicionar informações a uma vulnerabilidade, que se origina numa dependência upstream.

A título de exemplo, podemos tomar o CVE-2025-47809. Esta vulnerabilidade tem origem no Wibu CodeMeter e tem uma pontuação CVSS de 8.2. A Siemens lançou dois avisos para isso, nomeadamente SSA-201595 e SSA-331739 para informar os clientes e fornecedores de scanners de segurança que certos produtos Siemens utilizam este componente e herdam a vulnerabilidade. No entanto, algumas pessoas não seguem diretamente os Avisos de Security da Siemens e retiram as suas informações, por exemplo, do cve.org — e agora também podem ser informadas.

Com a atual abordagem SADP, esperamos que os scanners de vulnerabilidade possam aumentar as taxas “verdadeiramente positivas” para os produtos Siemens afetados. No futuro, quando a Siemens também publicar produtos “conhecidos não afetados”, esperamos que o número de “falsos positivos” diminua. “Falsos positivos” ocorrem quando componentes vulneráveis são instalados num sistema, mas a vulnerabilidade não pode ser explorada.