Восемь уязвимостей в продуктах Cisco (от CVE‑2025‑20169 до CVE‑2025‑20176) были внесены в базу NVD без указания конфигураций CPE, из-за чего системы сканирования и учёта активов, полагающиеся на CPE-сопоставление, не смогли их обнаружить. Платформа DeviceTotal восполнила этот пробел, самостоятельно сопоставив корректную версию прошивки (IOS 15.9(3)m3), опираясь на официальное уведомление Cisco. Это обеспечило клиенту полную видимость проблемы и позволило оперативно и точно провести устранение уязвимостей. NVD добавила CPE только в июле – с четырёхмесячной задержкой.
Преимущества DeviceTotal
| Без DeviceTotal | С DeviceTotal |
| ⚠️ CVE не были обнаружены из-за отсутствия соответствий CPE в NVD. | ✅ 8 CVE были правильно отнесены к версии прошивки Cisco, содержащей уязвимости. |
| ⚠️ Результаты сканирования показали неполную или обманчивую картину состояния безопасности. | ✅ Ошибочные срабатывания устранены благодаря точной информации на уровне прошивки |
| ⚠️ Риск неисправленных уязвимостей увеличился | ✅ Указания по устранению уязвимостей согласованы с официальными рекомендациями поставщика |
| ⚠️ Уязвимости оставались скрытыми в течение четырех месяцев, поскольку у NVD не хватало данных CPE | ✅ Полная видимость рисков устройств с ежедневными обновлениями – несмотря на задержку NVD на четыре месяца |
Пробел в безопасности
- Используемое устройство: Нераскрытое оборудование Cisco с операционной системой IOS 15.9(3)m3
- Источник поиска: NVD
- Результат: 8 CVE, связанных с Cisco SNMP DoS, не были привязаны ни к одному CPE в NVD до 3 июля 2025 года, хотя рекомендации Cisco существовали с февраля того же года
- Примечание: NVD действительно предоставило ссылку на рекомендации Cisco по безопасности, но без списка CPE уязвимых устройств автоматизированные решения не могли обнаружить эту проблему
Реальность обнаруженная DeviceTotal
DeviceTotal активно отслеживает рекомендации поставщиков и не полагается исключительно на соответствие продуктов в базе NVD. Платформа DeviceTotal определила уязвимые версии непосредственно с помощью рекомендаций Cisco:
- Все 8 уязвимостей отнесены к соответствующей прошивке (15.9(3)m3)
- Обеспечила сосредоточение клиента на устранении только реальных уязвимостей
- Источник: Cisco PSIRT
3 июля, почти через 4 месяца после того, как компания Cisco обнародовала информацию об уязвимостях, база данных NVD была обновлена и включила список соответствующих CPE.
Примечание: приведенный пример касается только одной из восьми уязвимостей (CVE), которые были обновлены в тот же день. Вы можете просмотреть записи об изменениях по каждой из остальных уязвимостей по следующим ссылкам:
- CVE-2025-20170
- CVE-2025-20171
- CVE-2025-20172
- CVE-2025-20173
- CVE-2025-20174
- CVE-2025-20175
- CVE-2025-20176
Результат
DeviceTotal выявил уязвимости, которые инструменты, полагающиеся исключительно на базу NVD, не могли обнаружить. После заполнения пробела в CPE, оставшейся в публичных записях CVE, у клиента появилась возможность:
- Обнаружение восьми подлинных SNMP DoS-уязвимостей, затрагивающих прошивку IOS 15.9(3)M3
- Возможность приоритизировать риски и установить патчи своевременно, вместо ложного ощущения безопасности
- Подтверждение надлежащего уровня проверки и соблюдения требований на внутренних и внешних аудитах, несмотря на неполные данные в NVD
- Отказ от ручной проверки CPE и необходимости разрабатывать собственные скрипты для защиты устройств Cisco
Таким образом, DeviceTotal превратил невидимый риск в практичное решение.
Почему это имеет значение?
Умная система DeviceTotal не ограничивается только данными из базы NVD. Она также анализирует:
- Официальные публикации и рекомендации производителей оборудования
- Информацию от поставщиков, не раскрывающих уязвимости публично
- Сообщение об угрозах типа zero-day
- Данные из расширенных частных и конфиденциальных источников
Такой подход обеспечивает полноценный охват киберрисков благодаря:
- Ежедневной актуализации информации об уязвимостях
- Анализ рисков с учетом конкретных версий прошивки
- Полной видимости состояния IoT, OT, сетевого и защитного оборудования
- Наличию сценариев реагирования даже в случаях, когда база NVD неполная или содержит ошибки
