美國網絡安全和基礎設施安全局今天建立了一個公開的已知被利用的漏洞目錄,併發布了一個具有約束力的操作指令,命令美國聯邦機構在特定的時間框架和期限內修補受影響的系統。該目錄目前列出了306個漏洞,其中一些老漏洞是2010年就被發現,但現在仍在外部被利用。
這其中包括思科、Google、微軟、蘋果、甲骨文、Adobe、Atlassian、IBM和其他許多大小公司的產品的漏洞。
對於今年披露的漏洞(CVE代碼為CVE-2021-*****),CISA已經命令各美國聯邦機構在2021年11月17日前應用補丁。
對於更早的漏洞,各機構必須在2022年5月3日之前修補系統。
“這些漏洞給各機構帶來了重大風險。必須積極補救已知的被利用的漏洞,以保護聯邦信息系統和減少網絡事件,”CISA今天在一個具有約束力的操作指令中說。
在今天宣布該機構的新努力的推文中,CISA主任Jen Easterly說,雖然具有約束力的操作指令只能迫使美國聯邦機構採取行動,但實際上所有組織都應採取行動,修補列出的漏洞,因為同樣的漏洞也被用來攻擊私人實體。
在一份新聞稿中,CISA還表示,他們計劃在新的漏洞被積極利用時向數據庫添加新條目。
為此CISA還提供了一個RSS源,讓IT和安全團隊隨時關注數據庫的新條目。
了解更多:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog