Tijdens Operatie Lunar Peek in november 2024de aanvaller kreeg op meer dan niet-geverifieerde externe beheerderstoegang (en uiteindelijk root). 13.000 Palo Alto Netwerkbeheerinterfaces blootgelegd. Het Palo Alto Network scoorde een doelpunt CVE-2024-0012 op 9.3 en CVE-2024-9474 op 6.9 onder CVSS v4.0. NVD drukt hetzelfde paar af 9.8 en 7.2 onder CVSS v3.1. Twee scoresystemen. Twee verschillende antwoorden voor dezelfde kwetsbaarheid. 6,9 valt onder de patchdrempel. Er lijkt beheerderstoegang vereist te zijn. 9.3 staat in de rij voor onderhoud. Segmentatie is een blijvertje.
“Tegenstanders omzeilen (ernstranglijsten) door kwetsbaarheden aan elkaar te koppelen”, vertelde Adam Meyers, SVP Counter Adversary Operations bij CrowdStrike, aan VentureBeat in een exclusief interview op 22 april 2026. Over triagelogica die de keten overslaat: “Ze hebben alleen geheugenverlies van de afgelopen 30 seconden.”
Beide CVE’s zijn binnen CISA-catalogus van bekende kwetsbaarheden. Er is geen score die een kill-keten aangeeft. De triagelogica die deze scores gebruikt, behandelt elke CVE als een geïsoleerde gebeurtenis, en dat geldt ook voor de SLA-dashboards en bestuursrapporten op die dashboardfeeds.
CVSS doet precies waarvoor het is ontworpen. Scoor één kwetsbaarheid tegelijk. Het probleem is dat tegenstanders niet één kwetsbaarheid tegelijk aanvallen.
“De CVSS-basislijnscore is een theoretische maatstaf voor de ernst die de context in de echte wereld negeert,” schrijven Peter Chronis, voormalig Paramount CISO en beveiligingsleider met Fortune 100-ervaring. Door de eerste prioriteit van CVSS bij Paramount te overtreffen, rapporteerde Chronis een vermindering van 90% in bruikbare kritieke en risicovolle kwetsbaarheden. Chris Gibson, uitvoerend directeur van FIRST, de organisatie die de CVSS beheert, herhaalde hetzelfde sentiment: alleen het gebruik van CVSS-basisscores voor het stellen van prioriteiten is de “minst precieze en nauwkeurige” methode, zei Gibson. vertelde Het Register. behoort tot FIRST EPS en het SSVC-beslissingsmodel van CISA pakt een aantal van deze hiaten aan door exploitatiekansen en beslissingsboomlogica toe te voegen.
De vijf klassen van mislukkingen waarvoor CVSS-triage nooit bedoeld was
In 2025, 48.185 CVE’s bekendgemaakteen stijging van 20,6% op jaarbasis. Jerry Gamblin, hoofdingenieur bij Cisco Threat Detection and Response, 70.135-project voor 2026. De infrastructuur achter de score verzwakt onder het gewicht. NIST maakte dit op 15 april bekend dat het aantal CVE-registraties sinds 2020 met 263% is toegenomen, en dat NVD nu alleen prioriteit zal geven aan verrijking voor KEV’s en federaal kritieke software.
1. Geketende CVE’s die er veilig uitzien, maar dat in werkelijkheid niet zijn
Palo Alto koppel uit Operatie Maanverkenning is het leerboek. CVE-2024-0012 omzeilt authenticatie. CVE-2024-9474 verhoogt de bevoegdheden. Afzonderlijk beoordeeld op CVSS v4.0 en v3.1, filtert de escalatiefout onder de meeste patchdrempels voor ondernemingen, omdat hiervoor beheerderstoegang lijkt te zijn vereist. Upstream authenticatie-bypass elimineert deze vereiste volledig. Geen enkele score communiceert het gecombineerde effect.
Meyers beschrijft de operationele psychologie: het team scoort elke CVE afzonderlijk, waarbij lagere scores geen prioriteit krijgen en hogere scores in de wachtrij staan voor onderhoud.
2. Vijandige natiestaten die binnen enkele dagen patches bewapenen
Dat CrowdStrike Wereldwijd dreigingsrapport 2026 documenteerde een stijging van 42% op jaarbasis in het aantal kwetsbaarheden dat werd uitgebuit vanaf nul dagen vóór de openbaarmaking. Gemiddelde uitbraaktijd voor alle waargenomen inbraken: 29 minuten. Snelste uitbraak waargenomen: 27 seconden. De tegenstanders van China maken gebruik van nieuw gepatchte kwetsbaarheden binnen twee tot zes dagen na onthulling.
“Vroeger was Patch Tuesday één keer per maand. Nu zijn het elke dag patches. Zo ziet deze nieuwe wereld eruit”, zegt Daniel Bernard, Chief Business Officer bij CrowdStrike. De toevoeging van KEV, dat dinsdag als een routinematig wachtrij-item werd beschouwd, werd donderdag een actief exploitvenster.
3. CVE’s die jarenlang door statelijke actoren worden bijgehouden
Zoutcycloon op een geketende manier toegang krijgen tot de communicatie van hoge Amerikaanse politieke figuren tijdens de presidentiële transitie CVE-2023-20198 met CVE-2023-20273 op Cisco-apparaten die met internet zijn verbonden, werd het privilege-escalatiepaar in oktober 2023 gepatcht en is het ruim een jaar later nog steeds niet geïmplementeerd. Gecompromitteerde inloggegevens bieden parallelle toegangsvectoren. Het pleistertje is er. Er wordt niets geïmplementeerd.
Zevenenzestig procent van de kwetsbaarheden die in 2025 door tegenstanders van de Chinese nexus worden uitgebuit, zijn fouten in de uitvoering van externe code die directe systeemtoegang bieden, aldus CrowdStrike Wereldwijd dreigingsrapport 2026. CVSS verlaagt de prioriteit niet op basis van hoe lang een CVE niet is gepatcht. Er zijn geen boardstatistieken die de veroudering van KEV-blootstelling volgen.
Die stilte is zijn kwetsbaarheid.
4. Identiteitslacunes die nooit in het beoordelingssysteem worden opgenomen
Social engineering-oproepen via de helpdesk in 2023 tegen grote bedrijven resulteerden in verliezen van meer dan $ 100 miljoen. Er zijn geen CVE’s toegewezen. Er is geen CVSS-score. Er worden geen patchstroomgegevens aangemaakt. De kwetsbaarheid is een leemte in het menselijk proces in de identiteitsverificatie, die volledig buiten de leemte in het scoresysteem valt.
“Een professional heeft een zero day nodig als je alleen maar de helpdesk hoeft te bellen en te zeggen dat ik mijn wachtwoord ben vergeten”, aldus Meyers.
Agent AI-systemen brengen nu hun eigen identiteitsreferenties, API-tokens en toestemmingsbereiken mee, die buiten het traditionele beheer van kwetsbaarheidsbeheer opereren. Merritt Baer, CSO bij Enkrypt AI, heeft verklaard dat identiteitscontroleoppervlakken gelijkwaardig zijn aan kwetsbaarheden die in dezelfde rapportagepijplijn vallen als software-CVE’s. In de meeste organisaties bestaan de authenticatiekloof van de helpdesk en de inventaris van de AI-inloggegevens van agenten in afzonderlijke governance-silo’s. In de praktijk zit er niemand in de regering.
5. Door AI versnelde ontdekkingen die de capaciteit van pijpleidingen ondermijnen
Antropisch Claude Mythos-preview demonstreer autonome ontdekking van kwetsbaarheden, ontdek a De overloop van gehele getallen met teken is 27 jaar oud in OpenBSD’s implementatie van TCP SACK op een totaal van ongeveer 1.000 scaffolds computerkosten onder de $ 20.000. Meyers presenteerde een gedachte-experimentprojectie in een exclusief interview met VentureBeat: als frontier AI een tienvoudige volumetoename zou bewerkstelligen, zou het resultaat ongeveer 480.000 CVE’s per jaar zijn. Een pijpleiding gebouwd voor 48.000 stuks brak bij 70.000 stuks en stortte in bij 480.000 stuks. NVD-verrijking bestaat niet meer voor niet-KEV-toepassingen.
“Als tegenstanders nu sneller kwetsbaarheden kunnen vinden dan verdedigers of het bedrijfsleven, is dat een groot probleem, omdat die kwetsbaarheden exploits zullen worden”, zegt Daniel Bernard, Chief Business Officer bij CrowdStrike.
CrowdStrike is donderdag gelanceerd QuiltWorks-projecteen herstelcoalitie met Accenture, EY, IBM Cybersecurity Services, Kroll en OpenAI gevormd om het volume aan kwetsbaarheden aan te pakken die grensverleggende AI-modellen nu in productiecode genereren. Toen vijf grote bedrijven een coalitie vormden om het pijplijnprobleem op te lossen, kon geen enkele organisatorische workflow dit bijhouden.
Actieplan beveiligingsdirecteur
De vijf foutklassen hierboven verwijzen naar vijf specifieke acties.
Voer deze maand een ketenafhankelijkheidsaudit uit op elke KEV CVE in de omgeving. Markeer eventuele medebewoners met een CVE-score van 5,0 of hoger, de drempel waarbij escalatie van bevoegdheden en mogelijkheden voor laterale beweging doorgaans voorkomen in CVSS-vectoren. Elke omzeiling van verificatie van een paarketen naar escalatie van bevoegdheden krijgt prioriteit als kritiek, ongeacht de individuele score.
Comprimeer KEV-naar-patch SLA’s tot 72 uur voor systemen met internetverbinding. Dat CrowdStrike Wereldwijd dreigingsrapport 2026 breakout-gegevens, het gemiddelde was 29 minuten en de snelste was 27 seconden, waardoor het wekelijkse patchvenster onhoudbaar werd in de bordpresentatie.
Maak maandelijkse KEV-verouderingsrapporten voor het bestuur. Elke niet-gepatchte KEV CVE, dagen sinds openbaarmaking, dagen sinds patchbeschikbaarheid, en de eigenaar ervan. Salt Typhoon maakt 14 maanden van tevoren gebruik van een Cisco CVE-patch, omdat er geen escalatiepad is voor blootstelling aan veroudering.
Voeg identiteitscontroleoppervlakken toe aan kanalen voor het melden van kwetsbaarheden. Hiaten in de authenticatie van helpdesks en inventarissen van de AI-inloggegevens van agenten vallen binnen hetzelfde SLA-framework als software-CVE’s. Als ze zich in afzonderlijke regeringssilo’s bevinden, maken ze geen deel uit van iemands regering.
Stresstest pijplijncapaciteit bij 1,5x en 10x huidig CVE-volume. Gamblin-projecten 70.135 voor 2026. Meyers’ gedachte-experimentprojectie: AI-grens zou het jaarlijkse volume voorbij de 480.000 kunnen duwen. Communiceer capaciteitstekorten vóór de volgende begrotingscyclus aan de CFO, en niet nadat een inbreuk heeft aangetoond dat er sprake is van een tekort.
