Öka sårbarhetsinsynen med leverantörs-ADP

Sedan 2024 har Cybersecurity and Infrastructure Security Agency (CISA) implementerat programmet ”Vulnrichment” för att berika CVE-data med ytterligare information. Målet är att ge ytterligare sammanhang och hjälpa försvarare att bedöma den specifika risken för dessa sårbarheter. Varje CVE från cve.org eller github har en ADP-behållare (Authorized Data Publisher) där dessa data lagras.

Som en nästa nivå förespråkade Siemens PSIRT en ytterligare utvidgning av detta: Leverantören-ADP (SADP), som pilottestades under de senaste månaderna och slutligen introducerades i april 2026. SADP är praktiskt om en leverantör som Siemens vill lägga till information till en sårbarhet, som har sitt ursprung i ett uppströmsberoende.

Som ett exempel kan vi ta CVE-2025-47809. Denna sårbarhet har sitt ursprung i Wibu CodeMeter och har en CVSS-poäng på 8,2. Siemens släppte två bulletiner för detta, nämligen SSA-201595 och SSA-331739 för att informera kunder och leverantörer av säkerhetsskannrar om att vissa Siemens-produkter använder denna komponent och ärver sårbarheten. Vissa människor följer dock inte Siemens Security Advisories direkt och tar deras information till exempel från cve.org — och de kan nu också informeras.

Med det nuvarande SADP-tillvägagångssättet förväntar vi oss att sårbarhetsskannrar kan öka de ”sanna positiva” priserna för berörda Siemens-produkter. I framtiden, när Siemens också publicerar ”kända ej påverkade” produkter, förväntar vi oss att antalet ”falska positiva” kommer att minska. ”Falska positiva” uppstår när sårbara komponenter installeras i ett system, men sårbarheten kan inte utnyttjas.