最近,美国网络安全和基础设施安全局(CISA)发布了306个积极使用的漏洞目录,并发布了一系列具有约束力的操作指令,命令美国联邦机构在特定时间内及时修复。
这个目录包括 Adobe、Apple、Atlassian、Cisco、Google、IBM、Microsoft、Nagios、Netgear、Oracle、Pulse Secure 等多家公司的产品漏洞可追溯到2010年。CISA命令联邦机构在6个月内修复2021年前分配的分配CVE(公共漏洞和暴露弱点的总称),并在两周内修复其他漏洞。如果发生严重威胁联邦机构安全的事件,这些漏洞的修复期也将立即调整。
根据国土安全部发布的指示:“网络攻击者通常利用已知漏洞发起各种网络攻击,给联邦机构带来更大的安全风险。积极修复已知漏洞对保护联邦信息系统和减少安全事件至关重要。”
“恶意行为者每天都在利用已知的漏洞攻击联邦机构。作为联邦网络安全运营的负责人,我们正在发布可操作指令,尽量减少恶意行为者积极利用的漏洞,为联邦网络安全做出自己的努力。”CISA主任Jen Easterly说,“该指令明确要求联邦民事机构立即采取行动改善其漏洞管理实践,大大降低联邦机构遭受网络攻击的风险。”
虽然该指令只要求联邦机构立即采取行动,但事实上,所有机构都应该遵循目录来修复漏洞,因为漏洞不仅威胁到联邦机构的网络安全,而且威胁到所有机构。
参考来源:https://securityaffairs.co/wordpress/124181/security/cisa-exploited-vulnerabilities-catalog.html