Durante Operación Lunar Peek en noviembre de 2024Los atacantes obtuvieron acceso de administrador remoto no autenticado (y eventualmente root) en más de 13.000 interfaces de gestión expuestas de Palo Alto Networks. Palo Alto Networks anotó CVE-2024-0012 a las 9:3 am y CVE-2024-9474 a 6.9 en CVSS v4.0. NVD anotó el mismo par 9.8 y 7.2 en CVSS v3.1. Dos sistemas de puntuación. Dos respuestas diferentes ante las mismas vulnerabilidades. 6.9 cayó por debajo de los límites del parche. El acceso de administrador parecía necesario. El 9.3 estaba en cola de mantenimiento. La segmentación sería válida.
“Los adversarios te rodearán [severity ratings] encadenando vulnerabilidades”, dijo a VentureBeat Adam Meyers, vicepresidente senior de operaciones contra adversarios de CrowdStrike, en una entrevista exclusiva el 22 de abril de 2026. Con respecto a la lógica de clasificación que perdió la cadena: “Tenían amnesia 30 segundos antes”.
Ambos CVE están en el Catálogo CISA de vulnerabilidades explotadas conocidas. Ninguna de las puntuaciones señaló la cadena de muertes. La lógica de clasificación que consumió estas puntuaciones trató cada CVE como un evento aislado, al igual que los paneles de SLA y los informes de la junta que alimentan esos paneles.
CVSS hizo exactamente lo que fue diseñado para hacer. Califique una vulnerabilidad a la vez. El problema es que los adversarios no atacan una vulnerabilidad a la vez.
“Las puntuaciones base CVSS son medidas teóricas de gravedad que ignoran el contexto del mundo real”. el escribio Peter Chronis, ex CISO de Paramount y líder de seguridad con experiencia en Fortune 100. Al ir más allá de la priorización de CVSS en Paramount, Chronis informó una reducción de las vulnerabilidades críticas y de alto riesgo procesables en un 90%. Chris Gibson, director ejecutivo de FIRST, la organización que mantiene el CVSS, fue igualmente contundente: utilizar sólo las puntuaciones base del CVSS para la priorización es el método “menos apropiado y preciso”, dijo Gibson. le dijo al registro. Propio por PRIMERO EPS y el modelo de decisión SSVC de CISA aborda parte de esta brecha agregando probabilidad de exploración y lógica de árbol de decisión.
Cinco clases de fallas de detección para las que CVSS nunca fue diseñado para detectar
En 2025, Se divulgaron 48.185 CVEun aumento del 20,6% interanual. Jerry Gamblin, ingeniero principal, Detección y respuesta a amenazas de Cisco, proyectos 70.135 para 2026. La infraestructura detrás de las puntuaciones está colapsando bajo este peso. NIST anunció el 15 de abril que las presentaciones de CVE han aumentado un 263% desde 2020, y el NVD ahora priorizará el enriquecimiento solo para KEV y software crítico federal.
1. CVE encadenados que parecen seguros hasta que no lo son
El dúo de Palo Alto de Operación Vista Lunar es el libro de texto. CVE-2024-0012 omitió la autenticación. CVE-2024-9474 privilegios escalados. Calificado por separado en CVSS v4.0 y v3.1, el error de escalada se filtró por debajo de la mayoría de los umbrales de parches empresariales porque parecía necesario el acceso de administrador. La omisión de autenticación ascendente ha eliminado este requisito previo por completo. Ninguna puntuación comunicó el efecto compuesto.
Meyers describió la psicología operativa: los equipos evaluaron cada CVE de forma independiente, quitaron prioridad a la puntuación más baja y pusieron en cola la puntuación más alta para mantenimiento.
2. Los adversarios del Estado-nación arman parches en apenas unos días
EL Informe de amenazas globales CrowdStrike 2026 documentó un aumento interanual del 42% en las vulnerabilidades explotadas como días cero antes de la divulgación pública. Tiempo medio de interrupción de las intrusiones observadas: 29 minutos. Escape más rápido observado: 27 segundos. Los adversarios del nexo con China utilizaron como arma las vulnerabilidades recién parcheadas entre dos y seis días después de su divulgación.
“Solía ser el martes de parches una vez al mes. Ahora son parches todos los días, todo el tiempo. Así es como se ve este nuevo mundo”, dijo Daniel Bernard, director comercial de CrowdStrike. Una adición de KEV tratada como un elemento de cola de rutina el martes se convierte en una ventana de exploración activa el jueves.
3. CVE almacenados que los actores estatales han conservado durante años
tifón de sal accedió a las comunicaciones de importantes figuras políticas estadounidenses durante la transición presidencial, enhebrando CVE-2023-20198 con CVE-2023-20273 en los dispositivos Cisco con acceso a Internet, se parchearon un par de escaladas de privilegios en octubre de 2023 y aún no se aplican más de un año después. Las credenciales comprometidas proporcionaron un vector de entrada paralelo. Existían parches. Ninguno de los dos fue aplicado.
El sesenta y siete por ciento de las vulnerabilidades explotadas por los adversarios del nexo de China en 2025 fueron fallas de ejecución remota de código que proporcionaron acceso inmediato al sistema, según el Informe de amenazas globales CrowdStrike 2026. CVSS no degrada la prioridad en función de cuánto tiempo lleva sin parchear un CVE. Ninguna métrica del consejo rastrea la exposición al envejecimiento de KEV.
Este silencio es vulnerabilidad.
4. Brechas de identidad que nunca llegan al sistema de puntuación
Una llamada de ingeniería social de soporte técnico en 2023 contra una gran empresa produjo más de 100 millones de dólares en pérdidas. No se asignó ningún CVE. No existían puntuaciones CVSS. No se crearon entradas de canalización de parches. La vulnerabilidad era una brecha en el proceso humano de verificación de identidad, completamente fuera de la apertura del sistema de puntuación.
“Un profesional necesita un día cero si todo lo que tiene que hacer es llamar al soporte técnico y decir que olvidé mi contraseña”, dijo Meyers.
Los sistemas de IA agente ahora llevan sus propias credenciales de identidad, tokens API y alcances de permiso, y operan fuera de la gobernanza tradicional de gestión de vulnerabilidades. Merritt Baer, CSO de Enkrypt AI, ha argumentado oficialmente que los controles de superficie de identidad son equivalentes de vulnerabilidad que pertenecen al mismo canal de informes que los CVE de software. En la mayoría de las organizaciones, las brechas de autenticación de la mesa de ayuda y los inventarios de credenciales de IA de los agentes viven en un silo de gobernanza separado. En la práctica, nadie gobierna.
5. Descubrimiento acelerado por IA que rompe la capacidad del canal
antrópico Vista previa de Claude Mythos descubrimiento autónomo demostrado de vulnerabilidades, encontrando una Desbordamiento de enteros con signo de 27 años sobre la implementación TCP SACK de OpenBSD en aproximadamente 1.000 ejecuciones de andamio en total La informática cuesta menos de 20.000 dólares.. Meyers ofreció una proyección de experimento mental en la entrevista exclusiva con VentureBeat: si la IA fronteriza genera un aumento de volumen 10 veces mayor, el resultado será aproximadamente 480.000 CVE al año. Los oleoductos construidos para 48.000 se rompen en 70.000 y colapsan en 480.000. El enriquecimiento NVD ya terminó para los envíos que no son KEV.
“Si el adversario ahora puede encontrar vulnerabilidades más rápido que los defensores o la empresa, eso es un gran problema porque esas vulnerabilidades se convierten en exploits”, dijo Daniel Bernard, director comercial de CrowdStrike.
CrowdStrike se lanzó el jueves Proyecto QuiltWorksSe formó una coalición de remediación con Accenture, EY, IBM Cybersecurity Services, Kroll y OpenAI para abordar el volumen de vulnerabilidad que los modelos fronterizos de IA están generando ahora en el código de producción. Cuando cinco grandes empresas forman una coalición en torno a un problema de oleoducto, el flujo de trabajo de remediación de ninguna organización puede seguir el ritmo.
Plan de acción del director de seguridad
Las cinco clases de fallas anteriores se corresponden con cinco acciones específicas.
Ejecute una auditoría de dependencia de la cadena en cada KEV CVE del entorno este mes. Marque cualquier CVE corresidente con una puntuación de 5,0 o superior, el umbral donde las capacidades de escalada de privilegios y movimiento lateral suelen aparecer en los vectores CVSS. Cualquier desviación de la autenticación de la cadena de pares hacia la escalada de privilegios se clasifica como crítica, independientemente de las puntuaciones individuales.
Comprima los SLA de KEV para parchear a 72 horas para sistemas con acceso a Internet. EL Informe de amenazas globales CrowdStrike 2026 Los datos de ruptura, con un promedio de 29 minutos y 27 segundos más rápidos, hacen que las ventanas de parches semanales sean indefendibles en una presentación de tablero.
Prepare un informe mensual de envejecimiento de KEV para la placa. Cada KEV CVE sin parches, días desde la divulgación, días desde la disponibilidad del parche y propietario. Salt Typhoon aprovechó un CVE de Cisco parcheado 14 meses antes porque no existía una ruta de escalada para la exposición al envejecimiento.
Agregue controles de superficie de identidad a su canal de informes de vulnerabilidades. Las brechas de autenticación de soporte técnico y los inventarios de credenciales de IA de las agencias pertenecen al mismo marco de SLA que los CVE de software. Si permanecen en un silo de gobierno separado, no serán parte del gobierno de nadie.
Prueba de estrés de la capacidad de la tubería a 1,5x y 10x el volumen CVE actual. Gamblin proyecta 70.135 hasta 2026. Proyección del experimento mental de Meyers: Frontier AI podría aumentar el volumen anual más allá de 480.000. Presente la brecha de capacidad al director financiero antes del próximo ciclo presupuestario, no después de la brecha que demuestra que existe la brecha.
