Durante Operazione Moon Peek nel novembre 2024gli aggressori hanno ottenuto l’accesso di amministratore remoto non autenticato e alla fine hanno effettuato il rooting su più piattaforme 13.000 interfacce di gestione di Palo Alto Networks esposte. Obiettivo di Palo Alto Networks CVE-2024-0012 in 9.3 e CVE-2024-9474 A 6.9 con CVSS v4.0. NVD ha segnato la stessa coppia 9.8 e 7.2 sotto CVSS v3.1. Due sistemi di punteggio. Due risposte diverse alle stesse vulnerabilità. La patch 6.9 è scesa sotto le soglie. Risulta che è richiesto l’accesso amministrativo. 9.3 seduto in fila per la manutenzione. Verrà applicata la segmentazione.
"Gli aggressori aggirano le vulnerabilità concatenandole insieme (gradi di gravità)," Adam Meyers, vicepresidente senior delle operazioni anti-avversario di CrowdStrike, ha dichiarato a VentureBeat in un’intervista esclusiva il 22 aprile 2026. Riguardo alla logica di definizione delle priorità che manca la catena: "Hanno subito una perdita di memoria di 30 secondi fa."
Entrambi i CVE Catalogo CISA delle vulnerabilità note sfruttabili. Nessuno dei due punteggi ha segnato la catena di uccisione. La logica di definizione delle priorità che ha utilizzato questi punteggi ha trattato ogni CVE come un incidente isolato e i dashboard SLA e i report del consiglio di amministrazione sono stati inseriti in questi dashboard.
CVSS ha fatto esattamente ciò per cui è stato progettato. Ottieni una vulnerabilità alla volta. Il problema è che gli avversari non attaccano una singola vulnerabilità alla volta.
"I punteggi di base CVSS sono misure teoriche di gravità che ignorano il contesto del mondo reale." ha scritto Peter Chronis è l’ex CISO di Paramount e leader della sicurezza con esperienza nell’elenco Fortune 100. Alla Paramount, Chronis ha riferito che andando oltre la definizione delle priorità CVSS, ha ridotto del 90% le vulnerabilità critiche e ad alto rischio utilizzabili. Chris Gibson, amministratore delegato di FIRST, l’organizzazione che mantiene il CVSS, è stato altrettanto chiaro: utilizzare solo i punteggi base del CVSS per la definizione delle priorità è "meno appropriato e corretto" Metodo, Gibson ha detto al Register.. PRIMA se stesso EPS e il modello decisionale SSVC della CISA risolve parte di questa lacuna aggiungendo la probabilità di utilizzo e la logica dell’albero decisionale.
Le cinque classi di fallimento del triage che CVSS non è mai stato progettato per rilevare.
nel 2025 Annunciati 48.185 CVEÈ aumentato del 20,6% annuo. Jerry Gamblin, ingegnere principale presso Cisco Threat Detection and Response. 70.135 progetti per il 2026. L’infrastruttura dietro i punteggi si sta sgretolando sotto questo peso. Il NIST ha annunciato il 15 aprile Ha affermato che le richieste CVE sono aumentate del 263% dal 2020 e NVD ora darà priorità all’arricchimento solo per KEV e software critico federale.
1. CVE concatenati che sembrano sicuri finché non lo sono
Duetto di Palo Alto Operazione Moongaze È un libro di testo. CVE-2024-0012 ha bypassato l’autenticazione. Privilegi CVE-2024-9474 aumentati. Con un punteggio separato sia per CVSS v4.0 che per v3.1, il difetto di aggiornamento è stato filtrato al di sotto della maggior parte delle soglie di patch aziendali poiché l’accesso amministrativo era ritenuto necessario. Bypassare l’autenticazione a monte ha eliminato completamente questo prerequisito. Nessuno dei due punteggi trasmetteva l’effetto composto.
Meyers ha descritto la psicologia operativa: i team valutavano ogni CVE in modo indipendente, declassavano il punteggio basso e mettevano in coda il punteggio alto per il mantenimento.
2. Nemici-stato-nazione che trasformano le patch in armi nel giro di pochi giorni
Rapporto CrowdStrike 2026 sulle minacce globali hanno documentato un aumento del 42% su base annua delle vulnerabilità sfruttate zero giorni prima della divulgazione pubblica. Tempo medio di rodaggio per le intrusioni osservate: 29 minuti. Breakout più veloce osservato: 27 secondi. Gli avversari legati alla Cina hanno utilizzato come armi le vulnerabilità appena risolte entro due o sei giorni dalla divulgazione.
"In precedenza, il Patch Tuesday si teneva una volta al mese. Adesso l’applicazione delle patch viene eseguita ogni giorno, in continuazione. Ecco come appare questo nuovo mondo," ha affermato Daniel Bernard, direttore operativo di CrowdStrike. Un componente aggiuntivo KEV considerato un elemento della coda di routine martedì diventa una finestra di utilizzo attiva entro giovedì.
3. CVE accumulati che gli attori statali hanno conservato per anni
Tifone salato Le comunicazioni di alti esponenti politici statunitensi erano collegate a catena durante la transizione presidenziale CVE-2023-20198 con CVE-2023-20273 Sui dispositivi Cisco connessi a Internet, una coppia di escalation dei privilegi patchata nell’ottobre 2023 non è stata ancora implementata più di un anno dopo. Le credenziali compromesse fornivano un vettore di ingresso parallelo. Erano disponibili le patch. Nessuno dei due è stato implementato.
Secondo il rapporto, il 67% delle vulnerabilità sfruttate dagli aggressori legati alla Cina nel 2025 erano difetti di esecuzione di codice in modalità remota che consentivano l’accesso istantaneo al sistema. Rapporto CrowdStrike 2026 sulle minacce globali. CVSS non riduce la priorità in base al tempo in cui un CVE rimane senza patch. Non esistono misurazioni su carta che datano l’esposizione al KEV.
Questo silenzio è una vulnerabilità.
4. Divari identitari che non entrano mai nel sistema di punteggio
Una chiamata di ingegneria sociale dell’help desk del 2023 contro una grande organizzazione ha provocato perdite per oltre 100 milioni di dollari. Non è stato assegnato alcun CVE. Il punteggio CVSS non era disponibile. Non è stata creata alcuna voce della pipeline di patch. La vulnerabilità era dovuta a una lacuna del processo umano nell’autenticazione ed era completamente estranea all’apertura del sistema di punteggio.
"Se tutto quello che devi fare è chiamare l’help desk e dire che ho dimenticato la password, un professionista ha bisogno di zero giorni." Meyers ha detto.
I sistemi di intelligenza artificiale degli agenti ora dispongono delle proprie credenziali, token API e ambiti di autorizzazione e operano al di fuori della tradizionale governance di gestione delle vulnerabilità. Merritt Baer, CSO di Enkrypt AI, ha affermato che i controlli della superficie dell’identità nei log sono equivalenti di vulnerabilità appartenenti alla stessa pipeline di reporting dei CVE software. Nella maggior parte delle organizzazioni, le lacune di autenticazione dell’help desk e gli inventari delle credenziali AI degli agenti risiedono in un silo di gestione separato. In pratica non esiste un unico management.
5. Scoperta accelerata dall’intelligenza artificiale che supera la capacità della linea di produzione
antropico Anteprima di Claude Mythos dimostrazione della scoperta autonoma delle vulnerabilità, Overflow di interi con segno di 27 anni Il costo computazionale totale per circa 1.000 esecuzioni di scaffold nell’implementazione TCP SACK di OpenBSD è inferiore a $ 20.000. In un’intervista esclusiva con VentureBeat, Meyers ha offerto una previsione basata su un esperimento mentale: se l’intelligenza artificiale all’edge fornisse un aumento di volume di 10 volte, il risultato sarebbe di circa 480.000 CVE all’anno. Le condutture costruite per 48.000 si rompono a 70.000 e crollano a 480.000. L’arricchimento NVD per gli invii non KEV è già stato rimosso.
"Se ora l’avversario trova le vulnerabilità più velocemente dei difensori o dell’azienda, questo è un grosso problema perché quelle vulnerabilità diventano exploit." ha affermato Daniel Bernard, direttore operativo di CrowdStrike.
CrowdStrike è stato lanciato giovedì Progetto QuiltWorksÈ stata costituita una coalizione di bonifica composta da Accenture, EY, IBM Cybersecurity Services, Kroll e OpenAI per affrontare il volume di vulnerabilità che i principali modelli di intelligenza artificiale stanno ora creando nel codice di produzione. Quando cinque grandi aziende formano una coalizione attorno a un problema relativo a una pipeline, nessuna organizzazione riesce a tenere il passo con il flusso di lavoro di patching.
Piano d’azione del responsabile della sicurezza
Le cinque classi di guasto sopra riportate corrispondono a cinque azioni specifiche.
Esegui un controllo della dipendenza della catena su ogni CVE KEV nell’ambiente questo mese. Contrassegnare qualsiasi CVE residente comune con un punteggio pari o superiore a 5,0, la soglia alla quale l’escalation dei privilegi e le capacità di movimento laterale compaiono tipicamente nei vettori CVSS. Qualsiasi bypass dell’autenticazione a doppia catena per l’escalation dei privilegi ha la priorità come critico, indipendentemente dai punteggi individuali.
Comprime gli SLA da KEV a patch a 72 ore per i sistemi connessi a Internet. Rapporto CrowdStrike 2026 sulle minacce globali I dati di interruzione media di 29 minuti e quelli più veloci di 27 secondi rendono le finestre di patch settimanali insostenibili in una presentazione del tabellone.
Creare un rapporto mensile sull’invecchiamento del KEV per la scheda. Ogni CVE KEV senza patch, giorni dal rilascio, giorni dalla disponibilità della patch e proprietario. Salt Typhoon ha sfruttato un CVE Cisco a cui è stata applicata una patch 14 mesi fa perché non esisteva un percorso di escalation per l’esposizione all’invecchiamento.
Aggiungi controlli della superficie dell’identità alla pipeline di segnalazione delle vulnerabilità. Le lacune di autenticazione dell’help desk e gli inventari delle credenziali AI degli agenti appartengono allo stesso framework SLA dei CVE software. Se si silono in un silo di gestione separato, non saranno sotto la gestione di nessuno.
Capacità della pipeline di stress test a 1,5x e 10x il volume CVE attuale. Gamblin ne progetta 70.135 per il 2026. Previsione dell’esperimento mentale di Meyers: Edge AI potrebbe aumentare il volume annuale fino a oltre 480.000. Presentare il divario di capacità al CFO prima del prossimo ciclo di budget, non dopo che la violazione ha dimostrato che il divario esiste.
