Onder Operatie Lunar Peek in november 2024aanvallers ongeoorloofde externe beheerderstoegang (en mogelijk root) hebben verkregen over meer dan 13.000 blootgestelde beheerinterfaces van Palo Alto Networks. Palo Alto Networks scoorde CVE-2024-0012 bij 9.3 en CVE-2024-9474 van 6.9 onder CVSS v4.0. NVD scoorde hetzelfde paar 9.8 en 7.2 onder CVSS v3.1. Twee scoresystemen. Twee verschillende reacties op dezelfde kwetsbaarheden. 6,9 viel onder de patchdrempels. Beheerderstoegang leek vereist. De 9.3 stond in de wachtrij voor onderhoud. Segmentatie zou standhouden.
“Tegenstanders omzeilen (ernstclassificaties) door kwetsbaarheden aan elkaar te koppelen”, vertelde Adam Meyers, SVP van Counter Adversary Operations bij CrowdStrike, aan VentureBeat in een exclusief interview op 22 april 2026. Over de triagelogica die de ketting miste: “Ze hadden net geheugenverlies van 30 seconden eerder.”
Beide CVE’s zijn ingeschakeld CISA-catalogus van bekende misbruikte kwetsbaarheden. Geen van beide scores markeerde de moordpartij. De triagelogica die deze resultaten gebruikte, behandelde elke CVE als een geïsoleerd incident, net als de SLA-dashboards, en het bestuur rapporteert deze dashboardfeeds.
CVSS deed precies waarvoor het was ontworpen. Scoor één kwetsbaarheid tegelijk. Het probleem is dat tegenstanders niet één kwetsbaarheid tegelijk aanvallen.
“CVSS-basisscores zijn theoretische maatstaven voor de ernst die de context uit de echte wereld negeren”, schreef Peter Chronis, voormalig Paramount CISO en beveiligingsmanager met Fortune 100-ervaring. Chronis gaat verder dan de CVSS-eerste prioriteit bij Paramount en rapporteert dat het aantal bruikbare kritieke en risicovolle kwetsbaarheden met 90% is verminderd. Chris Gibson, uitvoerend directeur van FIRST, de organisatie die de CVSS onderhoudt, is even bot geweest: alleen het gebruik van CVSS-basisscores voor het stellen van prioriteiten is “de minst geschikte en nauwkeurige” methode, zegt Gibson. vertelde Het Register. EERSTE is van zichzelf EPS en het SSVC-beslissingsmodel van CISA pakt een deel van deze kloof aan door exploitatiewaarschijnlijkheid en beslissingsboomlogica toe te voegen.
Vijf triagefoutklassen CVSS is nooit ontworpen om vast te leggen
In 2025, Er werden 48.185 CVE’s blootgelegdeen stijging van 20,6% op jaarbasis. Jerry Gamblin, hoofdingenieur bij Cisco Threat Detection and Response, projecten 70.135 voor 2026. De infrastructuur achter de resultaten bezwijkt onder dat gewicht. NIST maakte dit op 15 april bekend dat het aantal CVE-inzendingen sinds 2020 met 263% is gegroeid, en dat NVD nu alleen prioriteit zal geven aan verrijking voor KEV en federale kritieke software.
1. Geketende CVE’s die er veilig uitzien totdat ze dat niet meer zijn
Palo Alto ging samen aan de slag Operatie Lunar Peek is het leerboek. CVE-2024-0012 heeft de authenticatie omzeild. CVE-2024-9474 geëscaleerde bevoegdheden. De escalatiebug scoorde afzonderlijk onder zowel CVSS v4.0 als v3.1 en filterde onder de meeste bedrijfspatchdrempels omdat beheerderstoegang vereist leek. De authenticatielus stroomopwaarts elimineerde deze voorwaarde volledig. Geen van de punten communiceerde het samengestelde effect.
Meyers beschreef de operationele psychologie: teams beoordeelden elke CVE afzonderlijk, waarbij de lagere score geen prioriteit kreeg en de hogere in de rij werd gezet voor onderhoud.
2. Vijanden van natiestaten die binnen enkele dagen wapens patchen
De CrowdStrike 2026 Wereldwijd dreigingsrapport documenteerde een toename van 42% op jaarbasis in het aantal kwetsbaarheden dat werd uitgebuit vanaf nul dagen vóór openbaarmaking. Gemiddelde uitbraaktijd na waargenomen inbraken: 29 minuten. Snelst waargenomen uitbarsting: 27 seconden. China-nexus tegenstanders hebben nieuw gerichte kwetsbaarheden bewapend binnen twee tot zes dagen na openbaarmaking.
“Voorheen was het één keer per maand Patch Tuesday. Nu is het elke dag, de hele tijd. Zo ziet deze nieuwe wereld eruit”, zegt Daniel Bernard, Chief Business Officer bij CrowdStrike. Een KEV-toevoeging die op dinsdag als routinematig wachtrij-item wordt behandeld, wordt donderdag een actief exploitatievenster.
3. Opgeslagen CVE’s waar nationale actoren al jaren over beschikken
Zouttyfoon toegang tot de communicatie van hoge Amerikaanse politieke figuren tijdens de presidentiële transitie door te ketenen CVE-2023-20198 met CVE-2023-20273 op internetgerichte Cisco-apparaten, een paar voor escalatie van privileges dat in oktober 2023 werd opgelost en meer dan een jaar later nog steeds niet werd toegepast. Gecompromitteerde inloggegevens leverden een parallelle toegangsvector op. De pleisters bestonden. Geen ervan werd gebruikt.
67 procent van de kwetsbaarheden die in 2025 door tegenstanders van de Chinese nexus werden uitgebuit, waren fouten in de uitvoering van externe code die onmiddellijke toegang tot het systeem boden, aldus CrowdStrike 2026 Wereldwijd dreigingsrapport. CVSS verlaagt de prioriteit niet op basis van hoe lang een CVE niet is gepatcht. Er zijn geen bestuursstatistieken die de veroudering van KEV-blootstelling volgen.
Die stilte is de kwetsbaarheid.
4. Identiteitslacunes die nooit in het scoresysteem voorkomen
Een oproep aan de social engineering-helpdesk in 2023 tegen een groot bedrijf resulteerde in een verlies van meer dan $ 100 miljoen. Er werd geen CVE toegekend. Er bestonden geen CVSS-scores. Er is geen patchpijplijnvermelding gemaakt. De kwetsbaarheid was een leemte in het menselijk proces in de identiteitsverificatie die volledig buiten de lens van het puntensysteem viel.
“Een professional heeft een zero day nodig als je alleen maar de helpdesk hoeft te bellen en te zeggen dat ik mijn wachtwoord ben vergeten”, aldus Meyers.
Agentische AI-systemen hebben nu hun eigen identiteitsinformatie, API-tokens en toestemmingsbereiken, en opereren buiten het traditionele kwetsbaarheidsbeheer. Merritt Baer, CSO bij Enkrypt AI, heeft officieel betoogd dat identiteitsoppervlaktecontroles kwetsbaarheidsequivalenten zijn die in dezelfde rapportagepijplijn thuishoren als software-CVE’s. In de meeste organisaties bevinden de authenticatielacunes in de helpdesk en de AI-referenties van agenten zich in een afzonderlijke governance-silo. In de praktijk heeft niemand het bestuur.
5. AI-versnelde ontdekking die de pijplijncapaciteit verbreekt
Antropisch Preview van Claude Mythos demonstreerde autonome ontdekking van kwetsbaarheden, het vinden van a 27-jarige ondertekende integer-overflow in OpenBSD’s TCP SACK-implementatie over in totaal ongeveer 1.000 scaffold-runs kosten onder de $ 20.000 berekenen. Meyers presenteerde een gedachte-experimentprojectie in het exclusieve interview met VentureBeat: als grens-AI een 10x toename in volume veroorzaakt, is het resultaat ongeveer 480.000 CVE’s per jaar. Pijpleidingen gebouwd voor 48.000 mensen breken bij 70.000 en storten in bij 480.000. NVD-verrijking is al verdwenen voor niet-KEV-inzendingen.
“Als de tegenstander kwetsbaarheden sneller kan vinden dan de verdedigers of de onderneming, is dat een groot probleem, omdat die kwetsbaarheden exploits worden”, zegt Daniel Bernard, Chief Business Officer bij CrowdStrike.
CrowdStrike Donderdag gelanceerd Project QuiltWorkseen herstelcoalitie met Accenture, EY, IBM Cybersecurity Services, Kroll en OpenAI gevormd om de kwetsbaarheid aan te pakken die grensverleggende AI-modellen nu genereren in productiecode. Wanneer vijf grote bedrijven een coalitie vormen rond een pijplijnprobleem, kan de patchworkflow van geen enkele organisatie dit bijhouden.
Actieplan beveiligingsdirecteur
De vijf bovenstaande foutklassen zijn gekoppeld aan vijf specifieke acties.
Voer deze maand een ketenafhankelijkheidsaudit uit op elke KEV CVE in de omgeving. Markeer elke CVE van een medebewoner met een score van 5,0 of hoger, de drempel waarbij escalatie van bevoegdheden en mogelijkheden voor laterale beweging doorgaans voorkomen in CVSS-vectoren. Elke paarketenverificatie die wordt omzeild voor escalatie van bevoegdheden, wordt als cruciaal beschouwd, ongeacht de individuele scores.
Comprimeer KEV-naar-patch SLA’s tot 72 uur voor internetgerichte systemen. De CrowdStrike 2026 Wereldwijd dreigingsrapport breakout-gegevens, gemiddeld 29 minuten en snelste 27 seconden, maken wekelijkse patchvensters onverdedigbaar in een whiteboardpresentatie.
Stel een maandelijks KEV-verouderingsrapport op voor het bestuur. Elke ongepatchte KEV CVE, dagen sinds publicatie, dagen sinds patchbeschikbaarheid en eigenaar. Salt Typhoon maakte gebruik van een Cisco CVE die veertien maanden eerder was gepatcht omdat er geen escalatiepad voor blootstelling aan veroudering bestond.
Voeg besturingselementen voor de identiteitsinterface toe aan de pijplijn voor het rapporteren van kwetsbaarheden. Authenticatiegaten in de helpdesk en AI-referenties van agenten horen in hetzelfde SLA-framework als software-CVE’s. Als ze in een aparte regeringssilo zitten, zitten ze in niemands bestuur.
Stresstest pijplijncapaciteit bij 1,5x en 10x huidig CVE-volume. Gamblin-projecten 70.135 voor 2026. Meyers’ gedachte-experimentprojectie: limiet-AI zou het jaarlijkse volume boven de 480.000 kunnen brengen. Presenteer de capaciteitskloof aan de CFO vóór de volgende begrotingscyclus, en niet na de inbreuk die bewijst dat de kloof bestond.
