Tijekom Operacija Lunar Peek u studenom 2024napadači su dobili neautentificirani udaljeni administratorski pristup — i eventualni root — na više od 13.000 izloženih sučelja za upravljanje Palo Alto Networks. Palo Alto Networks je zabio CVE-2024-0012 u 9,3 i CVE-2024-9474 na 6.9 pod CVSS v4.0. NVD je postigao isti par 9.8 i 7.2 pod CVSS v3.1. Dva sustava bodovanja. Dva različita odgovora za iste ranjivosti. 6.9 pao je ispod pragova zakrpa. Čini se da je potreban administratorski pristup. 9.3 sat čekao je u redu za održavanje. Segmentacija bi izdržala.
"Protivnici zaobilaze [severity ratings] lančanim povezivanjem ranjivosti," Adam Meyers, viši potpredsjednik protusuparničkih operacija u CrowdStrikeu, rekao je za VentureBeat u ekskluzivnom intervjuu 22. travnja 2026. O logici trijaže koja je promašila lanac: "Upravo su imali amneziju od prije 30 sekundi."
Oba CVE-a sjede na CISA katalog poznatih iskorištenih ranjivosti. Niti jedan rezultat nije označio lanac ubojstava. Trijažna logika koja je koristila te rezultate tretirala je svaki CVE kao izolirani događaj, a isto su učinile i SLA nadzorne ploče i izvještaji ploče o feedu tih nadzornih ploča.
CVSS je učinio točno ono za što je i dizajniran. Ocijenite jednu po jednu ranjivost. Problem je u tome što protivnici ne napadaju jednu po jednu ranjivost.
"CVSS osnovni rezultati su teorijske mjere ozbiljnosti koje zanemaruju kontekst stvarnog svijeta," napisao Peter Chronis, bivši CISO tvrtke Paramount i voditelj sigurnosti s iskustvom na listi Fortune 100. Prelazeći s CVSS-prvog prioriteta u Paramountu, Chronis je izvijestio da je smanjio djelotvorne kritične i visokorizične ranjivosti za 90%. Chris Gibson, izvršni direktor FIRST-a, organizacije koja održava CVSS, bio je jednako izravan: korištenje samo osnovnih rezultata CVSS-a za određivanje prioriteta je "najmanje prikladan i točan" metoda, Gibson rekao je The Register. FIRST vlastiti EPSS a CISA-in SSVC model odlučivanja rješava dio ovog jaza dodavanjem vjerojatnosti iskorištavanja i logike stabla odlučivanja.
Sadržaj objave
Pet klasa neuspjeha trijaže CVSS nikada nije bio dizajniran za hvatanje
Godine 2025. Objavljeno je 48.185 CVE-ovašto je povećanje od 20,6% u odnosu na prethodnu godinu. Jerry Gamblin, glavni inženjer u Cisco Threat Detection and Response, projektira 70.135 za 2026. Infrastruktura iza rezultata se savija pod tom težinom. NIST je objavio 15. travnja da su podnesci CVE-a porasli 263% od 2020., a NVD će sada dati prednost obogaćivanju samo za KEV i savezni kritični softver.
1. Ulančani CVE-ovi koji izgledaju sigurni dok nisu
Par Palo Alto iz Operacija Lunar Peek je udžbenik. CVE-2024-0012 zaobišao je autentifikaciju. CVE-2024-9474 povećane privilegije. Ocijenjena zasebno pod CVSS v4.0 i v3.1, greška eskalacije filtrirana je ispod većine pragova zakrpa za poduzeća jer se činilo da je potreban administratorski pristup. Premosnica autentifikacije uzvodno u potpunosti je eliminirala taj preduvjet. Nijedna ocjena nije priopćila složeni učinak.
Meyers je opisao operativnu psihologiju: timovi su neovisno procijenili svaki CVE, depriorizirali niži rezultat i stavili viši u red za održavanje.
2. Protivnici nacionalne države koji naoružaju zakrpe u roku od nekoliko dana
The Izvješće o globalnoj prijetnji CrowdStrike 2026 dokumentirao je porast od 42% u odnosu na prethodnu godinu u ranjivostima iskorištenim kao nula dana prije javnog objavljivanja. Prosječno vrijeme proboja kroz promatrane upade: 29 minuta. Najbrži uočeni proboj: 27 sekundi. Protivnici kineskog neksusa naoružali su novo zakrpane ranjivosti u roku od dva do šest dana od otkrivanja.
"Prije je bio Patch Tuesday jednom mjesečno. Sada se krpa svaki dan, cijelo vrijeme. Tako izgleda ovaj novi svijet," rekao je Daniel Bernard, glavni poslovni direktor u CrowdStrikeu. Dodatak KEV-a koji se u utorak tretira kao rutinska stavka u redu čekanja postaje aktivni prozor eksploatacije do četvrtka.
3. Zalihe CVE-a koje akteri nacionalne države drže godinama
Slani tajfun lančano pristupao komunikacijama viših američkih političkih osoba tijekom predsjedničke tranzicije CVE-2023-20198 s CVE-2023-20273 na Cisco uređajima okrenutim prema internetu, par eskalacije privilegija zakrpan je u listopadu 2023. i još uvijek nije primijenjen više od godinu dana kasnije. Ugrožene vjerodajnice pružile su vektor paralelnog unosa. Zakrpe su postojale. Nijedno nije primijenjeno.
Prema Izvješće o globalnoj prijetnji CrowdStrike 2026. CVSS ne degradira prioritet na temelju toga koliko dugo CVE nije zakrpan. Nikakva metrička ploča ne prati izloženost KEV starenju.
Ta tišina je ranjivost.
4. Rupe u identitetu koje nikad ne ulaze u sustav bodovanja
Poziv službi za pomoć za društveni inženjering iz 2023. upućen velikom poduzeću proizveo je više od 100 milijuna dolara gubitaka. CVE nije dodijeljen. CVSS rezultat nije postojao. Nije stvoren unos cjevovoda zakrpe. Ranjivost je bila rupa u ljudskom procesu u potvrdi identiteta, koja je bila potpuno izvan otvora sustava bodovanja.
"Profesionalcu je potreban nulti dan ako sve što trebate učiniti je nazvati službu za pomoć i reći zaboravio sam lozinku," rekao je Meyers.
Agentski AI sustavi sada nose vlastite vjerodajnice identiteta, API tokene i opsege dopuštenja, djelujući izvan tradicionalnog upravljanja upravljanjem ranjivostima. Merritt Baer, CSO u Enkrypt AI, ustvrdio je da su površinske kontrole identiteta ekvivalenti ranjivosti koji pripadaju istom cjevovodu za izvještavanje kao softverski CVE-ovi. U većini organizacija praznine u autentifikaciji službe za pomoć i inventari vjerodajnica AI agenta žive u zasebnom upravljačkom silosu. U praksi, ničije upravljanje.
5. AI-ubrzano otkriće koje prekida kapacitet cjevovoda
Antropički Claude Mythos Pregled demonstrirano autonomno otkrivanje ranjivosti, pronalaženje a 27-godišnjak s predpisanim cijelim brojem u OpenBSD-ovoj implementaciji TCP SACK-a kroz otprilike 1000 pokretanja skele uz ukupnu cijenu računanja ispod 20 000 USD. Meyers je ponudio projekciju misaonog eksperimenta u ekskluzivnom intervjuu za VentureBeat: ako granična umjetna inteligencija potakne 10x povećanje volumena, rezultat je približno 480 000 CVE-ova godišnje. Cjevovodi građeni za 48.000 puknu na 70.000 i uruše se na 480.000. NVD obogaćivanje je već nestalo za podneske koji nisu KEV.
"Ako protivnik sada može pronaći ranjivosti brže od branitelja ili poduzeća, to je veliki problem, jer te ranjivosti postaju eksploatacije," rekao je Daniel Bernard, glavni poslovni direktor u CrowdStrikeu.
CrowdStrike je pokrenut u četvrtak Projekt QuiltWorkskoalicija za sanaciju s tvrtkama Accenture, EY, IBM Cybersecurity Services, Kroll i OpenAI formirana za rješavanje količine ranjivosti koju granični AI modeli sada generiraju u proizvodnom kodu. Kada pet velikih tvrtki izgradi koaliciju oko problema s cjevovodom, tijek rada s zakrpama niti jedne organizacije ne može držati korak.
Akcijski plan direktora sigurnosti
Gornjih pet klasa neuspjeha mapiraju se u pet specifičnih radnji.
Pokrenite reviziju ovisnosti o lancu za svaki KEV CVE u okruženju ovog mjeseca. Označite bilo koji surezidentni CVE s ocjenom 5,0 ili više, prag na kojem se eskalacija privilegija i mogućnosti bočnog kretanja obično pojavljuju u CVSS vektorima. Svaki par lančanih autentifikacijskih premosnica do eskalacije privilegija trijažira se kao kritične bez obzira na pojedinačne rezultate.
Komprimirajte KEV-to-patch SLA ugovore na 72 sata za sustave okrenute prema internetu. The Izvješće o globalnoj prijetnji CrowdStrike 2026 podaci o prodoru, 29-minutni prosjek i 27 sekundi najbrži, čine tjedne prozore zakrpa neobranjivim u prezentaciji ploče.
Izradite mjesečno izvješće o starenju KEV-a za ploču. Svaki nezakrpani KEV CVE, dani od otkrivanja, dani od dostupnosti zakrpe i vlasnik. Salt Typhoon iskoristio je Cisco CVE zakrpan 14 mjeseci ranije jer nije postojao put eskalacije za izloženost starenju.
Dodajte kontrole površine identiteta u kanal za prijavu ranjivosti. Rupe u autentifikaciji službe za pomoć i agentski popisi vjerodajnica AI pripadaju istom okviru SLA kao i softverski CVE-ovi. Ako sjede u zasebnom upravljačkom silosu, ne sjede ni u čijoj vlasti.
Kapacitet cjevovoda za testiranje otpornosti na stres pri 1,5x i 10x trenutnom CVE volumenu. Gamblin projekti 70.135 za 2026. Meyersova projekcija misaonog eksperimenta: granična umjetna inteligencija mogla bi povećati godišnji volumen preko 480.000. Predstavite manjak kapaciteta financijskom direktoru prije sljedećeg proračunskog ciklusa, a ne nakon kršenja koje dokazuje da je jaz postojao.