Blog HackRTU

‹ Regresar

EPSS y SSVC: priorización de vulnerabilidades

 

CNA

 

 

En el blog del día de hoy haremos referencia a dos términos con una relevancia especial para la priorización de vulnerabilidades en cualquier entorno, pero focalizándonos en los entornos industriales.

El primero, el EPSS o Exploit Prediction Scoring System, hace referencia a un modelo estadístico desarrollado por la organización FIRST (Forum of Incident Response and Security Teams). Este modelo te permite obtener la respuesta a la pregunta: ¿Qué probabilidad hay de que esta vulnerabilidad sea explotada en los próximos 30 días? En un entorno industrial, en el que la priorización de actividades es primordial, este sistema permite a los responsables de ciberseguridad categorizar y establecer un modelo de respuesta ante vulnerabilidades de acuerdo con la posibilidad de que una vulnerabilidad sea explotada.

Por otro lado, el SSVC o Stakeholder-Specific Vulnerability Categorization. En este caso, el SSVC es una metodología de decisión creada en colaboración entre el SEI (Software Engineering Institute) y la CISA (Cybersecurity adn Infrastructure Security Agency). Esta metodología proporciona un árbol de decisiones en el que las diferentes partes implicadas pueden ir eligiendo las características/factores de la vulnerabilidad, es decir, los responsables pueden determinar el riesgo (en cierta medida) y la necesidad de actuar frente a una vulnerabilidad en su entorno tiendo en cuenta dichos factores.

A lo largo del artículo, veremos un poco más sobre cada término de forma resumida, un caso específico relacionado con la priorización de vulnerabilidades y las diferentes plataformas disponibles para utilizar cada uno.

 

EPSS, COMPLEJO PERO EFICAZ

El EPSS, creado en 2019 por el FIRST y presentado en la Blackhat de ese mismo año, proporciona a los responsables de ciberseguridad la capacidad de analizar de forma eficiente la explotación de las vulnerabilidades en base a los CVE publicados. El modelo EPSS proporciona una puntuación de entre 0 y 1 (0% a 100%) donde, cuanto mayor es la puntuación, mayor es la probabilidad de explotación. Actualmente, el EPSS se encuentra en la versión 4, publicada el 17 de marzo de 2025.

Este modelo, tienen una gran relación con el CVSS (Common Vulnmerability Scoring System) aunque tienen características diferentes y presentan un resultado con dos enfoques diferentes. El EPSS se centra en proporcionar un nivel de amenaza (capacidad de que sea explotada una vulnerabilidad en 30 días) mientras que el CVSS indica las propiedades fundamentales de una vulnerabilidad, una clasificación numérica en base al impacto teórico y las condiciones de explotación.

FIRST pone a disposición de todos una API publica para la realización de consultas sobre el valor del EPSS, además, tiene un listado de diferentes herramientas open-source para el cálculo del valor del EPSS.

Dado que uno de nuestros investigadores detectó y publicó varias vulnerabilidades en dispositivos industriales, utilizaremos una de ellas, concretamente el CVE-2025-41362 como ejemplo para calcular el EPSS gracias a la herramienta

Utilizando la API disponible de FIRST introducimos la siguiente llamada:

https://api.first.org/data/v1/epss?cve=CVE-2025-41362

Lo que nos devuelve la siguiente respuesta:

{"status":"OK","status-code":200,"version":"1.0","access":"public","total":1,"offset":0,"limit":100,"data":[{"cve":"CVE-2025-41362","epss":"0.000700000","percentile":"0.217070000","date":"2025-08-25"}]}

La respuesta nos proporcional el valor del EPSS, el cual es de 0,0007 o un 0,07%, un nivel muy bajo, lo que indica que la probabilidad de explotación del CVE-2025-41362 en los próximos 30 días es casi nula. Así mismo, el percentile nos indica el porcentaje de vulnerabilidades publicadas con un valor EPSS igual o menor, lo que permite tener una referencia clara de la vulnerabilidad CVE-2025-41362 respecto al resto de vulnerabilidades publicadas.

Para dar un poco más de contexto a la probabilidad de explotación genérica de las vulnerabilidades, se presenta el siguiente gráfico del FIRST, en el que se puede ver como la mayor parte de las vulnerabilidades se encuentran por debajo de la línea que indica la necesidad de priorización.

Cabe destacar que este modelo utiliza machine learning para calcular el valor de la probabilidad de explotación, analizando una gran cantidad de información de diferentes bases de datos de relevancia para proporcionar ese resultado final. Dado que este análisis se hace a diario, el modelo también se actualiza a diario, por lo que, por ejemplo, a día de hoy 26 de agosto de 2025, el valor EPSS del CVE-2025-41362 es de 0,07%, si mañana, se publicase una PoC (Proof of Concept) funcional a GitHub del exploit, el EPSS se recalcularía y aumentaría su valor. Esto proporciona un gran valor al modelo y a los sistemas de gestión de vulnerabilidades que utilizan el EPSS para priorizar.

En HackRTU utilizamos este modelo en nuestros servicios para proporcionar información no solo teórica sobre las vulnerabilidades (CVSS), sino también actual sobre la probabilidad de que una vulnerabilidad detectada, en un dispositivo industrial, pueda ser explotada en los próximos días.

 

SSVC, UNA BUENA METODOLOGÍA EN LA PRIORIZACIÓN DE VULNERABILIDADES

La metodología Stakeholder-Specific Vulnerability Categorization o SSVC fue creada como bien hemos dicho antes en el año 2019 en colaboración entre el SEI y la CISA. Esta metodología permite analizar la criticidad de las vulnerabilidades teniendo en cuenta el estado de explotación, los impactos en la seguridad y la prevalencia del dispositivo/sistema/software afectado. En definitiva, esta metodología permite tanto a responsables como a analistas de ciberseguridad, integradores, fabricantes o equipos de respuesta a incidentes, categorizar la priorización de vulnerabilidades usando un árbol de decisiones.

A diferencia del EPSS o el CVSS, el SSVC no es un modelo estadístico o una puntuación teórica, sino que, como se ha mencionado anteriormente, es una metodología de categorización de decisiones que utiliza árboles para asignar una priorización de actuación respecto a una vulnerabilidad.

El EPSS se diferencia respecto a los otros modelos o sistemas de puntuación en que, te ayuda a decidir que hacer con esa vulnerabilidad en base a tu rol en la empresa o respecto a la propia vulnerabilidad. Existen cuatro posibilidades de decisión respecto a al resultado del árbol de decisión:

• TRACK: No requiere acción inmediata, la organización o el responsable deben vigilar la vulnerabilidad y reevaluarla si surge nueva información. La recomendación para corregir o mitigar la vulnerabilidad sigue los plazos estándar.
• TRACK*: Similar a la anterior, pero con unas características específicas que implican un seguimiento más exhaustivo de la vulnerabilidad. La recomendación para corregir o mitigar la vulnerabilidad sigue los plazos estándar también.
• ATTEND: Resultado que genera la necesidad de una mayor atención, implicación y supervisión por parte de los responsables. Este tipo de resultado en el árbol de decisión implica en muchas ocasiones la necesidad de un equipo especializado para el tratamiento de la vulnerabilidad, avisar a los responsables del activo y tratar de mitigar o resolver la vulnerabilidad en un periodo breve.
• ACT: Por último, actuar. Este resultado requiere la atención por parte de tanto los supervisores del activo como de los responsables de la organización. La necesidad de actuar es imperativa y se ha de tratar la vulnerabilidad con la máxima celeridad posible.

 

Además, la CISA, en su guía sobre Stakeholder-Specific Vulnerability Categorization recopila los posibles resultados y respuestas que deberíamos aplicar en el árbol de decisiones, es decir, los puntos de decisión del árbol. Dentro de esas decisiones hay dos puntos clave:

• Afectación a la operación crítica de la empresa:
  • Mínimo: El activo afectado no es crítico.
  • Apoyo: El activo respalda procesos importantes, pero no es esencial.
  • Esencial: Su pérdida afectaría a la operación principal/crítica de la organización.
• Impacto sobre el bienestar público:
  • Mínimo: La explotación tendría consecuencias menores, sin efectos significativos sobre la sociedad ni la seguridad pública.
  • Material: La explotación tendría un impacto tangible en servicios o usuarios , con posibles afectaciones en la seguridad, la economía o la calidad de vida.
  • Irreversible: La explotación de la vulnerabilidad podría generar daños graves y permanentes en la seguridad pública, la salud, el medio ambiente o la infraestructura crítica.

 

La última versión de la metodología, la versión SSVC 2.1, implementó finalmente una calculadora disponible en la web de la CISA simplificando así el proceso de toma de decisiones en “árbol”. A modo de ejemplo, utilizaremos dicha calculadora para obtener el valor del riesgo asociado a la vulnerabilidad CVE-2025-41362 reportada por uno de nuestros investigadores en HackRTU.

Cabe destacar que se han seleccionado ciertas decisiones genéricas y aleatorias dado que no se tiene un contexto de la situación del dispositivo para poder obtener un resultado verídico.

La calculadora de la CISA, no solo te proporciona el árbol de decisiones a nivel gráfico, sino que también proporciona información sobre la vulnerabilidad, el vector SSVC, el rol de la persona que ha realizado el análisis y una explicación/definición sobre los resultados obtenidos.

Como se puede ver en la anterior imagen, el resultado de la decisión es TRACK, lo que implica que solo se deberían vigilar posibles actualizaciones sobre exploits en bases de datos como el KEV o en proyectos específicos como el ICS Advisory Project KEV con afectación a la vulnerabilidad. La aparición de un exploit o un cambio en las funciones/relevancia del activo dentro de la producción de la organización podrían provocar un cambio en la decisión final del SSVC.

Desde HackRTU, creemos que el uso de tanto el modelo EPSS como de la metodología SSVC son aspectos vitales para una correcta gestión de las vulnerabilidades en entornos industriales en base a las características específicas de cada organización, por ello, en nuestros análisis, se tienen en cuenta estos parámetros para proporcionar unos resultados acordes a cada cliente.

 

 

EQUIPO DE HACKRTU