Pada bulan November 2024, dalam operasi Lunar Peek, para penyerang berhasil mendapatkan akses admin jarak jauh tanpa otentikasi ke lebih dari 13.000 antarmuka manajemen Palo Alto Networks. Untuk kerentanan ini, Palo Alto Networks memberikan skor CVE-2024-0012 sebesar 9.3 dan CVE-2024-9474 sebesar 6.9 berdasarkan CVSS v4.0. NVD memberikan skor yang sama, yaitu 9.8 dan 7.2 berdasarkan CVSS v3.1. Dua sistem penilaian yang berbeda, tetapi menghasilkan jawaban yang tidak sama untuk kerentanan yang sama. Skor 6.9 tidak memenuhi ambang batas patching. Akses admin tampaknya dibutuhkan, sementara skor 9.3 menunggu untuk pemeliharaan. Segregasi masih perlu dipertahankan.
“Musuh bisa mengelak dari [rating ketajaman] dengan menghubungkan berbagai kerentanan,” ujar Adam Meyers, SVP Operasi Counter Adversary di CrowdStrike, dalam wawancara eksklusif dengan VentureBeat pada 22 April 2026. Mengenai logika triase yang gagal mengidentifikasi hubungan tersebut, Meyers menjelaskan: “Mereka hanya mengalami amnesia dari 30 detik sebelumnya.”
Kedua CVE tersebut ada di dalam katalog Kerentanan yang Dikenal Dieksploitasi CISA. Namun, tidak ada satu pun dari skor tersebut menandai rantai pembunuhan (kill chain). Logika triase yang menggunakan skor ini menganggap setiap CVE sebagai peristiwa terpisah. Hal ini juga berlaku untuk dashboard SLA dan laporan kepada dewan yang disiapkan oleh dashboard tersebut.
CVSS menjalankan fungsi yang seharusnya, yaitu memberi skor untuk satu kerentanan dalam satu waktu. Masalahnya adalah musuh tidak menyerang satu kerentanan sekaligus.
“Skor dasar CVSS adalah ukuran teoretis dari ketajaman yang mengabaikan konteks dunia nyata,” tulis Peter Chronis, mantan CISO Paramount dan pemimpin keamanan dengan pengalaman Fortune 100. Dengan tidak memprioritaskan CVSS terlebih dahulu di Paramount, Chronis melaporkan pengurangan kerentanan kritis dan berisiko tinggi yang dapat ditindaklanjuti hingga 90%. Chris Gibson, direktur eksekutif FIRST, organisasi yang memelihara CVSS, juga telah mempertegas bahwa menggunakan skor dasar CVSS saja untuk pemprioritasan adalah metode yang “paling tidak tepat dan akurat”, ujar Gibson kepada The Register. Model keputusan EPSS dari FIRST dan SSVC milik CISA mengatasi sebagian dari kesenjangan ini dengan menambahkan probabilitas eksploitasi dan logika pohon keputusan.
Lima Kategori Kegagalan Triase yang Tidak Ditangkap oleh CVSS
Di tahun 2025, sebanyak 48.185 CVE diumumkan, meningkat 20,6% dibandingkan tahun sebelumnya. Jerry Gamblin, insinyur utama di Cisco Threat Detection and Response, memproyeksikan angka ini menjadi 70.135 pada 2026. Infrastruktur di balik penilaian ini mengalami tekanan akibat angka yang terus meningkat. NIST mengumumkan pada 15 April bahwa pengajuan CVE telah meningkat 263% sejak 2020, dan NVD kini akan memprioritaskan pengayaan untuk KEV dan perangkat lunak kritis federal saja.
1. Chained CVEs yang terlihat aman hingga tidak lagi
Pasangan CVE dari Operasi Lunar Peek adalah contoh yang sempurna. CVE-2024-0012 berhasil melewati otentikasi, sementara CVE-2024-9474 meningkatkan hak akses. Ketika dinilai terpisah menurut CVSS v4.0 dan v3.1, kerentanan peningkatan hak akses tersebut terfilter di bawah kebanyakan ambang batas patch perusahaan karena akses admin tampaknya dibutuhkan. Penghapusan otentikasi di bagian atas menghilangkan prasyarat itu sepenuhnya. Tidak ada skor yang menunjukkan efek gabungan.
Meyers menggambarkan psikologi operasionalnya: tim menilai setiap CVE secara independen, merendahkan prioritas skor yang lebih rendah, dan menunggu skor yang lebih tinggi untuk pemeliharaan.
2. Musuh negara yang memanfaatkan patch dalam hitungan hari
Laporan Global Threat 2026 dari CrowdStrike mendokumentasikan kenaikan 42% dalam kerentanan yang dieksploitasi sebagai zero-days sebelum pengungkapan publik. Rata-rata waktu pelarian dalam intrusi yang diamati: 29 menit. Pelarian tercepat yang diamati: 27 detik. Musuh yang terkait dengan China memanfaatkan kerentanan yang baru saja dipatch dalam waktu dua hingga enam hari setelah pengungkapan.
“Dulu hanya ada Patch Tuesday sekali sebulan. Sekarang harus patch setiap hari. Ini adalah wajah dunia baru,” kata Daniel Bernard, Chief Business Officer di CrowdStrike. Sebuah penambahan KEV yang diperlakukan sebagai item antrian rutin pada hari Selasa bisa menjadi jendela eksploitasi aktif pada hari Kamis.
3. CVEs yang ditimbun dalam waktu bertahun-tahun oleh aktor negara
Salt Typhoon mengakses komunikasi tokoh politik senior AS selama transisi presiden dengan menggabungkan CVE-2023-20198 dan CVE-2023-20273 di perangkat Cisco yang terhubung ke internet, sepasang peningkatan hak akses yang dipatch pada Oktober 2023 dan masih belum diterapkan lebih dari setahun kemudian. Kredensial yang dikompromikan memberikan vektor akses paralel. Patches ada, tapi tidak ada yang diterapkan.
Dua puluh tujuh persen dari kerentanan yang dieksploitasi oleh musuh yang berhubungan dengan China pada 2025 adalah kerentanan eksekusi kode jarak jauh yang memberi akses segera ke sistem, menurut Laporan Global Threat 2026 dari CrowdStrike. CVSS tidak menurunkan prioritas berdasarkan seberapa lama sebuah CVE belum dipatch. Tidak ada metrik dewan yang melacak paparan KEV yang sudah cukup tua.
Kekosongan informasi ini adalah kerentanan itu sendiri.
4. Kesenjangan identitas yang tidak pernah masuk ke dalam sistem penilaian
Sebuah panggilan teknik dukungan sosial pada tahun 2023 terhadap sebuah perusahaan besar menghasilkan kerugian lebih dari $100 juta. Tidak ada CVE yang ditugaskan. Tidak ada skor CVSS yang ada. Tidak ada entri dalam jalur patch. Kerentanan ini adalah kesenjangan proses manusia dalam verifikasi identitas, yang sepenuhnya berada di luar jangkauan sistem penilaian.
“Seseorang yang profesional memerlukan zero day jika yang Anda lakukan hanyalah menelepon help desk dan mengatakan bahwa Anda lupa kata sandi,” kata Meyers.
Sistem AI agentik kini memiliki kredensial identitas, token API, dan ruang izin sendiri, beroperasi di luar tata kelola manajemen kerentanan yang tradisional. Merritt Baer, CSO di Enkrypt AI, berpendapat bahwa kontrol permukaan identitas setara dengan kerentanan dan seharusnya berada di jalur pelaporan yang sama dengan CVE perangkat lunak. Di banyak organisasi, kesenjangan otentikasi help desk dan inventaris kredensial AI agentik berada di dalam silo tata kelola yang terpisah. Dalam praktiknya, tidak ada yang bertanggung jawab.
5. Penemuan yang dipercepat AI yang mematahkan kapasitas jalur
Demo Claude Mythos dari Anthropic menunjukkan penemuan kerentanan secara otonom, menemukan overflow integer bertanda 27 tahun dalam implementasi TCP SACK OpenBSD melalui sekitar 1.000 pengujian dengan total biaya komputasi di bawah $20.000. Meyers menawarkan proyeksi percobaan pemikiran dalam wawancara eksklusif dengan VentureBeat: jika AI frontier menghasilkan peningkatan volume 10 kali lipat, hasilnya adalah sekitar 480.000 CVE setiap tahun. Jalur yang dibangun untuk 48.000 akan runtuh pada angka 70.000 dan ambruk pada 480.000. Pengayaan NVD sudah tidak ada untuk pengajuan non-KEV.
“Jika musuh kini mampu menemukan kerentanan lebih cepat daripada para pembela atau bisnis, ini adalah masalah besar, karena kerentanan itu akan menjadi eksploitasi,” ujar Daniel Bernard.
CrowdStrike pada hari Kamis meluncurkan Project QuiltWorks, sebuah koalisi remediasi dengan Accenture, EY, layanan cybersecurity IBM, Kroll, dan OpenAI yang dibentuk untuk mengatasi volume kerentanan yang kini dihasilkan oleh model AI frontier dalam kode produksi. Ketika lima perusahaan besar membangun koalisi untuk masalah jalur ini, tidak ada satu pun alur kerja patch organisasi yang dapat mengikuti irama.
Rencana Tindakan Direktur Keamanan
Lima kategori kegagalan di atas terhubung dengan lima tindakan spesifik.
Lakukan audit ketergantungan rantai untuk setiap CVE KEV di lingkungan bulan ini. Tandai setiap CVE yang memiliki skor 5.0 atau lebih tinggi, ambang batas di mana peningkatan hak akses dan kemampuan pergerakan lateral biasanya muncul dalam vektor CVSS. Setiap pasangan yang mengaitkan pengabaian otentikasi ke peningkatan hak akses harus diprioritaskan sebagai kritis tanpa melihat skor individu.
Percepat SLA patch KEV menjadi 72 jam untuk sistem yang terhubung ke internet. Data pelarian dari Laporan Global Threat 2026 CrowdStrike, dengan rata-rata 29 menit dan tercepat 27 detik, membuat jadwal patch mingguan tidak dapat dipertahankan dalam presentasi dewan.
Buat laporan aging KEV bulanan untuk dewan. Setiap CVE KEV yang belum dipatch, jumlah hari sejak pengungkapan, jumlah hari sejak patch tersedia, dan pemilik. Salt Typhoon mengeksploitasi CVE Cisco yang dipatch 14 bulan sebelumnya karena tidak ada jalur eskalasi untuk paparan yang sudah menua.
Tambahkan kontrol permukaan identitas ke dalam jalur pelaporan kerentanan. Kesenjangan autentikasi help desk dan inventaris kredensial AI agentik seharusnya berada dalam kerangka SLA yang sama dengan CVE perangkat lunak. Jika keduanya berada dalam silo tata kelola yang terpisah, maka tidak ada satupun yang terkelola dengan baik.
Lakukan uji stres kapasitas jalur pada volume CVE saat ini mencapai 1,5x dan 10x. Gamblin memproyeksikan 70.135 untuk 2026. Proyeksi percobaan pemikiran Meyers: AI frontier dapat mendorong volume tahunan melampaui 480.000. Sajikan kesenjangan kapasitas ini kepada CFO sebelum siklus anggaran berikutnya, bukan setelah pelanggaran yang membuktikan bahwa kesenjangan itu ada.
