Tijdens Operatie Lunar Peek in november 2024hebben aanvallers niet-geauthenticeerde externe beheerderstoegang (en uiteindelijk root) verkregen in meer dan 13.000 blootgestelde beheerinterfaces van Palo Alto Networks. Palo Alto Networks scoorde CVE-2024-0012 bij 9.3 en CVE-2024-9474 op 6.9 onder CVSS v4.0. NVD scoorde hetzelfde paar 9.8 en 7.2 onder CVSS v3.1. Twee scoresystemen. Twee verschillende antwoorden voor dezelfde kwetsbaarheden. De 6,9 viel onder de patchdrempels. Beheerderstoegang bleek vereist. De 9.3 stond in de rij voor onderhoud. Segmentatie zou standhouden.
“Tegenstanders omzeilen (ernstclassificaties) door kwetsbaarheden aan elkaar te koppelen”, vertelde Adam Meyers, SVP van Counter Adversary Operations bij CrowdStrike, aan VentureBeat in een exclusief interview op 22 april 2026. Over de triagelogica die de keten miste: “Ze hadden net geheugenverlies van 30 seconden eerder.”
Beide CVE’s zitten op de CISA-catalogus met bekende uitgebuite kwetsbaarheden. Geen van beide scores markeerde de kill-keten. De triagelogica die deze scores gebruikte, behandelde elke CVE als een geïsoleerde gebeurtenis, en dat gold ook voor de SLA-dashboards en de boardrapporten voor die dashboards.
CVSS deed precies waarvoor het was ontworpen. Scoor één kwetsbaarheid tegelijk. Het probleem is dat tegenstanders niet één kwetsbaarheid tegelijk aanvallen.
“CVSS-basisscores zijn theoretische maatstaven voor de ernst die de context uit de echte wereld negeren”, schreef Peter Chronis, voormalig CISO van Paramount en een beveiligingsleider met Fortune 100-ervaring. Door verder te gaan dan CVSS-eerste prioriteitstelling bij Paramount, rapporteerde Chronis dat het aantal bruikbare kritieke en risicovolle kwetsbaarheden met 90% kon worden verminderd. Chris Gibson, uitvoerend directeur van FIRST, de organisatie die CVSS onderhoudt, is net zo direct geweest: alleen het gebruik van CVSS-basisscores voor het stellen van prioriteiten is “de minst geschikte en nauwkeurige” methode, Gibson vertelde Het Register. EERSTE is van zichzelf EPS en het SSVC-beslissingsmodel van CISA pakt een deel van deze kloof aan door exploitatiewaarschijnlijkheid en beslissingsboomlogica toe te voegen.
Vijf triage-foutklassen CVSS is nooit ontworpen om op te vangen
In 2025, Er zijn 48.185 CVE’s openbaar gemaakteen stijging van 20,6% op jaarbasis. Jerry Gamblin, hoofdingenieur bij Cisco Threat Detection and Response, projecten 70.135 voor 2026. De infrastructuur achter de scores bezwijkt onder dat gewicht. NIST maakte dit op 15 april bekend dat het aantal CVE-inzendingen sinds 2020 met 263% is gegroeid, en dat de NVD nu alleen prioriteit zal geven aan verrijking voor KEV en federale kritieke software.
1. Geketende CVE’s die er veilig uitzien totdat ze dat niet meer zijn
Het Palo Alto-paar van Operatie Lunar Peek is het leerboek. CVE-2024-0012 heeft de authenticatie omzeild. CVE-2024-9474 geëscaleerde bevoegdheden. De escalatiefout scoorde afzonderlijk onder zowel CVSS v4.0 als v3.1 en filterde onder de meeste bedrijfspatchdrempels omdat beheerderstoegang vereist leek. De authenticatie-bypass stroomopwaarts elimineerde deze voorwaarde volledig. Geen van beide scores communiceerde het samengestelde effect.
Meyers beschreef de operationele psychologie: teams beoordeelden elke CVE afzonderlijk, gaven prioriteit aan de lagere score en zetten de hogere in de wachtrij voor onderhoud.
2. Tegenstanders van natiestaten die binnen enkele dagen patches bewapenen
De CrowdStrike 2026 Wereldwijd dreigingsrapport documenteerde een stijging van 42% op jaarbasis in het aantal kwetsbaarheden dat werd uitgebuit vanaf nul dagen vóór de openbaarmaking. Gemiddelde uitbraaktijd na waargenomen inbraken: 29 minuten. Snelst waargenomen uitbraak: 27 seconden. China-nexus-tegenstanders hebben nieuw gepatchte kwetsbaarheden binnen twee tot zes dagen na onthulling bewapend.
“Voorheen was het één keer per maand Patch Tuesday. Nu is het elke dag, de hele tijd. Zo ziet deze nieuwe wereld eruit”, zegt Daniel Bernard, Chief Business Officer bij CrowdStrike. Een KEV-toevoeging die op dinsdag als routinematig wachtrij-item wordt behandeld, wordt donderdag een actief exploitatievenster.
3. Opgeslagen CVE’s die actoren van de natiestaten jarenlang bewaren
Zouttyfoon toegang gekregen tot de communicatie van hoge Amerikaanse politieke figuren tijdens de presidentiële transitie door middel van chaining CVE-2023-20198 met CVE-2023-20273 op internetgerichte Cisco-apparaten werd een privilege-escalatiepaar in oktober 2023 gepatcht en meer dan een jaar later nog steeds niet toegepast. Gecompromitteerde inloggegevens vormden een parallelle toegangsvector. De pleisters bestonden. Geen van beide werd toegepast.
Zevenenzestig procent van de kwetsbaarheden die in 2025 door tegenstanders van de Chinese nexus werden uitgebuit, waren fouten in de uitvoering van code op afstand die onmiddellijke toegang tot het systeem mogelijk maakten. CrowdStrike 2026 Wereldwijd dreigingsrapport. CVSS verlaagt de prioriteit niet op basis van hoe lang een CVE ongepatcht is gebleven. Er is geen boardmetriek die de veroudering van de KEV-blootstelling bijhoudt.
Die stilte is de kwetsbaarheid.
4. Identiteitslacunes die nooit in het scoresysteem voorkomen
Een social engineering-oproep in 2023 tegen een grote onderneming leverde meer dan $100 miljoen aan verliezen op. Er werd geen CVE toegekend. Er bestond geen CVSS-score. Er is geen patchpijplijnvermelding gemaakt. De kwetsbaarheid was een leemte in het menselijke proces in de identiteitsverificatie, die volledig buiten de opening van het scoresysteem viel.
“Een professional heeft een zero day nodig als je alleen maar de helpdesk hoeft te bellen en te zeggen dat ik mijn wachtwoord ben vergeten”, aldus Meyers.
Agentische AI-systemen hebben nu hun eigen identiteitsreferenties, API-tokens en toestemmingsbereiken, en opereren buiten het traditionele beheer van kwetsbaarheidsbeheer. Merritt Baer, CSO bij Enkrypt AI, heeft betoogd dat controles op het identiteitsoppervlak kwetsbaarheidsequivalenten zijn die tot dezelfde rapportagepijplijn behoren als software-CVE’s. In de meeste organisaties bevinden hiaten in de helpdeskauthenticatie en de inventarisatie van AI-inloggegevens zich in een afzonderlijke governance-silo. In de praktijk heeft niemand het bestuur.
5. AI-versnelde ontdekking die de pijplijncapaciteit verbreekt
Antropische’s Claude Mythos-preview demonstreerde autonome ontdekking van kwetsbaarheden, het vinden van a 27-jarige ondertekende integer-overflow in OpenBSD’s TCP SACK-implementatie over in totaal ongeveer 1.000 scaffold-runs computerkosten onder de $ 20.000. Meyers bood een gedachte-experimentprojectie aan in het exclusieve interview met VentureBeat: als frontier AI een tienvoudige volumetoename genereert, is het resultaat ongeveer 480.000 CVE’s per jaar. Pijpleidingen gebouwd voor 48.000 mensen breken bij 70.000 en storten in bij 480.000. NVD-verrijking is al verdwenen voor niet-KEV-inzendingen.
“Als de tegenstander nu sneller kwetsbaarheden kan vinden dan de verdedigers of het bedrijf, is dat een enorm probleem, omdat die kwetsbaarheden exploits worden”, zegt Daniel Bernard, Chief Business Officer bij CrowdStrike.
CrowdStrike is donderdag gelanceerd Project QuiltWorkseen herstelcoalitie met Accenture, EY, IBM Cybersecurity Services, Kroll en OpenAI, gevormd om het kwetsbaarheidsvolume aan te pakken dat grensverleggende AI-modellen nu genereren in productiecode. Wanneer vijf grote bedrijven een coalitie vormen rond een pijplijnprobleem, kan de patchworkflow van geen enkele organisatie gelijke tred houden.
Actieplan beveiligingsdirecteur
De vijf foutklassen hierboven verwijzen naar vijf specifieke acties.
Voer deze maand een ketenafhankelijkheidsaudit uit op elke KEV CVE in de omgeving. Markeer elke CVE van een medebewoner met een score van 5,0 of hoger, de drempel waar escalatie van bevoegdheden en mogelijkheden voor laterale beweging doorgaans voorkomen in CVSS-vectoren. Elke pair chaining-authenticatie die wordt omzeild tot escalatie van bevoegdheden wordt beoordeeld als kritiek, ongeacht individuele scores.
Comprimeer KEV-naar-patch SLA’s tot 72 uur voor internetgerichte systemen. De CrowdStrike 2026 Wereldwijd dreigingsrapport breakout-gegevens, gemiddeld 29 minuten en snelste 27 seconden, maken wekelijkse patchvensters onverdedigbaar in een bordpresentatie.
Stel een maandelijks KEV-verouderingsrapport op voor het bestuur. Elke ongepatchte KEV CVE, dagen sinds openbaarmaking, dagen sinds patchbeschikbaarheid en eigenaar. Salt Typhoon maakte gebruik van een Cisco CVE die veertien maanden eerder was gepatcht omdat er geen escalatiepad bestond voor blootstelling aan veroudering.
Voeg identiteitsoppervlakcontroles toe aan de pijplijn voor het rapporteren van kwetsbaarheden. Gaten in de authenticatie van helpdesks en inventarisaties van AI-inloggegevens horen in hetzelfde SLA-framework als software-CVE’s. Als ze in een aparte bestuurssilo zitten, zitten ze in niemands bestuur.
Stresstest pijplijncapaciteit bij 1,5x en 10x huidig CVE-volume. Gamblin-projecten 70.135 voor 2026. Meyers’ gedachte-experimentprojectie: grens-AI zou het jaarlijkse volume voorbij de 480.000 kunnen brengen. Presenteer het capaciteitsgat aan de CFO vóór de volgende begrotingscyclus, en niet na de inbreuk die bewijst dat het gat bestond.
