Dos CVEs de Palo Alto parecían manejables. Encadenados, dieron acceso root a 13.000 dispositivos

El encadenamiento de vulnerabilidades CVE convirtió dos fallos aparentemente moderados de Palo Alto Networks en una brecha masiva: durante la Operación Lunar Peek en noviembre de 2024, atacantes obtuvieron acceso remoto no autenticado —y eventualmente root— en más de 13.000 interfaces de gestión expuestas. El problema no fue que CVSS fallara. Fue que hizo exactamente lo que está diseñado para hacer: puntuar una vulnerabilidad a la vez.

El sistema de puntuación que no ve el bosque

CVE-2024-0012 recibió un 9.3 bajo CVSS v4.0 (9.8 según NVD en v3.1). CVE-2024-9474 obtuvo un 6.9 en v4.0 (7.2 en v3.1). La puntuación más baja quedó por debajo del umbral de parcheo en la mayoría de empresas porque aparentemente requería acceso de administrador previo. Lo que los equipos de seguridad no calcularon: el primer CVE eliminaba ese requisito por completo. Dos sistemas de puntuación, dos respuestas distintas para los mismos fallos, y ninguno comunicó el efecto compuesto.

Lo que pasó realmente en la Operación Lunar Peek

CVE-2024-0012 saltó la autenticación. CVE-2024-9474 escaló privilegios hasta root. Por separado, uno estaba en cola de mantenimiento y el otro ni siquiera llegó a esa cola. Ambos figuran hoy en el catálogo KEV de CISA (Known Exploited Vulnerabilities), pero ninguna puntuación individual señaló la cadena de ataque. Adam Meyers, SVP de Counter Adversary Operations en CrowdStrike, lo describió con precisión quirúrgica: los equipos evaluaron cada CVE de forma independiente y "tuvieron amnesia de los 30 segundos anteriores". El resultado fueron 13.000 dispositivos comprometidos.

CVSS no está roto, pero tampoco es suficiente

Peter Chronis, ex-CISO de Paramount, documentó una reducción del 90% en vulnerabilidades críticas accionables al dejar de priorizar exclusivamente por CVSS. Chris Gibson, director ejecutivo de FIRST —la organización que mantiene CVSS— ha dicho sin rodeos que usar las puntuaciones base como único criterio de priorización es "el método menos apto y preciso". Herramientas como EPSS de FIRST o el modelo SSVC de CISA añaden probabilidad de explotación y lógica de árbol de decisión, cubriendo parte del hueco. Pero los dashboards de SLA y los informes de directivos siguen alimentándose de un número que no fue diseñado para esto.

Lo que viene: más volumen, menos tiempo para reaccionar

En 2025 se divulgaron 48.185 CVEs, un aumento del 20,6% interanual. Las proyecciones apuntan a 70.135 para 2026. El CrowdStrike 2026 Global Threat Report documenta que los adversarios vinculados a China armaron vulnerabilidades recién parcheadas en un plazo de dos a seis días tras su divulgación. El tiempo medio de ruptura en intrusiones observadas: 29 minutos. El más rápido: 27 segundos. NIST ya anunció que priorizará el enriquecimiento de CVEs solo para KEV y software federal crítico. La infraestructura de puntuación está cediendo bajo el peso. Mientras tanto, hay otro vector que CVSS ni siquiera puede ver: en 2023, una llamada de ingeniería social a un helpdesk causó más de 100 millones de dólares en pérdidas. No hubo CVE asignado. No hubo puntuación. No hubo pipeline de parcheo. La vulnerabilidad era humana.

La pregunta real no es si CVSS es útil —lo es— sino si las organizaciones seguirán tomando decisiones de parcheo como si cada fallo viviera en una burbuja aislada cuando los atacantes claramente no piensan así.

Fuente: VentureBeat