Durante Operazione Lunar Peek nel novembre 2024gli aggressori hanno ottenuto l’accesso amministrativo remoto non autenticato (e infine il root) in più di 13.000 interfacce di gestione di Palo Alto Networks esposte. Palo Alto Networks ha segnato CVE-2024-0012 alle 9.3 e CVE-2024-9474 a 6.9 con CVSS v4.0. NVD ha segnato la stessa coppia 9.8 e 7.2 sotto CVSS v3.1. Due sistemi di punteggio. Due risposte various per le stesse vulnerabilità. Il 6,9 è sceso sotto le soglie della patch. Sembrava necessario l’accesso come amministratore. Il 9.3 sat in coda per manutenzione. La segmentazione reggerebbe.
“Gli avversari aggirano [severity ratings] concatenando insieme le vulnerabilità”, ha detto Adam Meyers, SVP di Counter Adversary Operations presso CrowdStrike, a VentureBeat in un’intervista esclusiva il 22 aprile 2026. Sulla logica del triage che ha mancato la catena: “Hanno semplicemente avuto un’amnesia di 30 secondi prima”.
Entrambi i CVE siedono sul Catalogo CISA delle vulnerabilità note sfruttate. Nessuno dei due punteggi ha segnalato la catena di uccisione. La logica di triage che ha utilizzato tali punteggi ha trattato ogni CVE come un evento isolato, così come i dashboard SLA e i report del board che alimentano tali dashboard.
CVSS ha fatto esattamente ciò per cui è stato progettato. Ottieni una vulnerabilità alla volta. Il problema è che gli avversari non attaccano una vulnerabilità alla volta.
“I punteggi base del CVSS sono misure teoriche di gravità che ignorano il contesto del mondo reale”, ha scritto Peter Chronis, ex CISO di Paramount e chief della sicurezza con esperienza nella lista Fortune 100. Andando oltre la priorità knowledge dal CVSS alla Paramount, Chronis ha riferito di aver ridotto del 90% le vulnerabilità critiche e advert alto rischio su cui è possibile intervenire. Chris Gibson, direttore esecutivo di FIRST, l’organizzazione che mantiene CVSS, è stato altrettanto diretto: usare solo i punteggi base CVSS per la definizione delle priorità è il metodo “meno adatto e accurato”, Gibson ha detto al Register. Il PRIMO EPSS e il modello decisionale SSVC della CISA risolve parte di questa lacuna aggiungendo la probabilità di sfruttamento e la logica dell’albero decisionale.
Cinque classi di fallimento del triage Il CVSS non è mai stato progettato per essere rilevato
Nel 2025, Sono stati divulgati 48.185 CVEun aumento del 20,6% su base annua. Jerry Gamblin, ingegnere principale presso Cisco Risk Detection and Response, progetti 70.135 per il 2026. L’infrastruttura dietro i punteggi sta cedendo sotto quel peso. Il NIST ha annunciato il 15 aprile che le richieste CVE sono cresciute del 263% dal 2020 e che l’NVD ora darà priorità all’arricchimento solo per KEV e software program critico federale.
1. CVE concatenati che sembrano sicuri finché non lo sono
La coppia di Palo Alto da Operazione Lunar Peek è il libro di testo. CVE-2024-0012 ha bypassato l’autenticazione. CVE-2024-9474 ha aumentato i privilegi. Con un punteggio separato sia per CVSS v4.0 che per v3.1, il difetto di escalation è filtrato al di sotto della maggior parte delle soglie di patch aziendali perché l’accesso amministrativo sembrava necessario. Il bypass dell’autenticazione a monte ha eliminato completamente questo prerequisito. Nessuno dei due punteggi comunicava l’effetto composto.
Meyers ha descritto la psicologia operativa: i workforce valutavano ciascun CVE in modo indipendente, declassavano il punteggio più basso e mettevano in coda quello più alto per la manutenzione.
2. Avversari-stato-nazione che utilizzano le patch come armi in pochi giorni
IL Rapporto CrowdStrike 2026 sulle minacce globali hanno documentato un aumento del 42% su base annua delle vulnerabilità sfruttate come zero-day prima della divulgazione pubblica. Tempo medio di breakout tra le intrusioni osservate: 29 minuti. Breakout più veloce osservato: 27 secondi. Gli avversari legati alla Cina hanno utilizzato come armi le vulnerabilità appena risolte entro due o sei giorni dalla divulgazione.
“Prima period il Patch Tuesday una volta al mese. Ora lo è ogni giorno, in ogni momento. Ecco come appare questo nuovo mondo”, ha affermato Daniel Bernard, Chief Enterprise Officer di CrowdStrike. Un’aggiunta KEV trattata come un elemento di coda di routine martedì diventa una finestra di sfruttamento attiva entro giovedì.
3. CVE accumulati che gli attori statali conservano per anni
Tifone salato ha avuto accesso alle comunicazioni di alti esponenti politici statunitensi durante la transizione presidenziale tramite concatenamento CVE-2023-20198 con CVE-2023-20273 sui dispositivi Cisco connessi a Web, una coppia di escalation dei privilegi è stata patchata nell’ottobre 2023 e ancora non applicata più di un anno dopo. Le credenziali compromesse fornivano un vettore di ingresso parallelo. Le patch esistevano. Nessuno dei due è stato applicato.
Secondo il rapporto, il 67% delle vulnerabilità sfruttate dagli avversari del nesso cinese nel 2025 erano difetti di esecuzione di codice remoto che fornivano accesso immediato al sistema. Rapporto CrowdStrike 2026 sulle minacce globali. CVSS non riduce la priorità in base a quanto tempo un CVE è rimasto senza patch. Nessuna metrica di bordo tiene traccia dell’invecchiamento dell’esposizione al KEV.
Quel silenzio è la vulnerabilità.
4. Lacune identitarie che non entrano mai nel sistema di punteggio
Una chiamata di ingegneria sociale dell’assist desk del 2023 contro una grande impresa ha prodotto perdite per oltre 100 milioni di dollari. Non è stato assegnato alcun CVE. Non esisteva alcun punteggio CVSS. Non è stata creata alcuna voce della pipeline di patch. La vulnerabilità period una lacuna del processo umano nella verifica dell’identità, che si trovava completamente al di fuori dell’apertura del sistema di punteggio.
“Un professionista ha bisogno di un giorno zero se tutto ciò che deve fare è chiamare l’assist desk e dire che ho dimenticato la password”, ha detto Meyers.
I sistemi di intelligenza artificiale agenti ora portano le proprie credenziali di identità, token API e ambiti di autorizzazione, operando al di fuori della tradizionale governance di gestione delle vulnerabilità. Merritt Baer, CSO di Enkrypt AI, ha affermato che i controlli della superficie dell’identità sono equivalenti di vulnerabilità appartenenti alla stessa pipeline di reporting dei CVE software program. Nella maggior parte delle organizzazioni, le lacune di autenticazione dell’assist desk e gli inventari delle credenziali dell’intelligenza artificiale degli agenti risiedono in un silo di governance separato. In pratica, la governance di nessuno.
5. Scoperta accelerata dall’intelligenza artificiale che compromette la capacità della pipeline
Quello antropico Anteprima di Claude Mythos ha dimostrato la scoperta autonoma delle vulnerabilità, trovando a Overflow di interi con segno di 27 anni nell’implementazione TCP SACK di OpenBSD su circa 1.000 esecuzioni di scaffold per un costo di calcolo totale inferiore a $ 20.000. Meyers ha offerto una proiezione di un esperimento mentale nell’intervista esclusiva con VentureBeat: se l’intelligenza artificiale di frontiera determina un aumento del quantity di 10 volte, il risultato è di circa 480.000 CVE all’anno. Le condutture costruite per 48.000 si rompono a 70.000 e crollano a 480.000. L’arricchimento NVD è già stato eliminato per le candidature non KEV.
“Se l’avversario è ora in grado di trovare le vulnerabilità più velocemente dei difensori o dell’azienda, questo è un grosso problema, perché quelle vulnerabilità diventano exploit”, ha affermato Daniel Bernard, Chief Enterprise Officer di CrowdStrike.
CrowdStrike è stato lanciato giovedì Progetto QuiltWorksuna coalizione di bonifica con Accenture, EY, IBM Cybersecurity Companies, Kroll e OpenAI formata per affrontare il quantity di vulnerabilità che i modelli di intelligenza artificiale di frontiera stanno ora generando nel codice di produzione. Quando cinque grandi aziende costruiscono una coalizione attorno a un problema di pipeline, il flusso di lavoro delle patch di nessuna singola organizzazione può tenere il passo.
Piano d’azione del direttore della sicurezza
Le cinque classi di guasto sopra riportate corrispondono a cinque azioni specifiche.
Esegui un audit della dipendenza della catena su ogni CVE KEV nell’ambiente questo mese. Contrassegna qualsiasi CVE co-residente con punteggio pari o superiore a 5.0, la soglia in cui l’escalation dei privilegi e le capacità di movimento laterale compaiono tipicamente nei vettori CVSS. Qualsiasi bypass dell’autenticazione con concatenamento di coppie per l’escalation dei privilegi viene classificato come critico indipendentemente dai punteggi individuali.
Comprime gli SLA da KEV a patch a 72 ore per i sistemi connessi a Web. IL Rapporto CrowdStrike 2026 sulle minacce globali i dati di breakout, 29 minuti in media e 27 secondi più veloci, rendono le finestre di patch settimanali indifendibili in una presentazione del consiglio.
Costruisci un rapporto mensile sull’invecchiamento del KEV per il consiglio. Ogni CVE KEV senza patch, giorni dalla divulgazione, giorni dalla disponibilità della patch e proprietario. Salt Hurricane ha sfruttato una patch CVE Cisco 14 mesi prima perché non esisteva alcun percorso di escalation per l’esposizione all’invecchiamento.
Aggiungi controlli della superficie dell’identità alla pipeline di segnalazione delle vulnerabilità. Le lacune di autenticazione dell’assist desk e gli inventari delle credenziali AI degli agenti appartengono allo stesso framework SLA dei CVE software program. Se si siedono in un silo di governance separato, non siedono in una governance di nessuno.
Capacità della pipeline di stress check a 1,5x e 10x il quantity CVE attuale. Gamblin ne progetta 70.135 per il 2026. Proiezione dell’esperimento mentale di Meyers: l’intelligenza artificiale di frontiera potrebbe spingere il quantity annuale oltre i 480.000. Presentare il divario di capacità al CFO prima del prossimo ciclo di funds, non dopo la violazione che dimostra l’esistenza del divario.
