《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 美國CISA命令聯(lián)邦機構(gòu)緊急修復數(shù)百個正在被利用的安全漏洞

美國CISA命令聯(lián)邦機構(gòu)緊急修復數(shù)百個正在被利用的安全漏洞

2021-11-04
來源:網(wǎng)空閑話
關鍵詞: 安全漏洞

  CISA發(fā)布了今年的第一個約束性操作指令(BOD),命令聯(lián)邦民事機構(gòu)在規(guī)定的時間范圍內(nèi)消除安全漏洞,。根據(jù)CISA管理的漏洞目錄中規(guī)定的時間表修復每個漏洞,。該目錄詳細列出對聯(lián)邦企業(yè)帶來重大風險的已利用漏洞,并要求在6個月內(nèi)修復具有2021年之前分配的通用漏洞和暴露 (CVE) ID編號的漏洞,,并在即日起兩周內(nèi)修復所有其他漏洞,。在聯(lián)邦企業(yè)面臨嚴重風險的情況下,可能會調(diào)整這些默認時間表,。與指令一同發(fā)布的需要修復的漏洞清單上有近300個漏洞,涉及幾乎所有的IT大廠,。Accellion, Adobe,,Apple,Apache, Android, Arcadyan, Arm, Atlassian, BQE,,Cisco,,Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5, ForgeRock, Fortinet,Google,,IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla,、Nagios、Netgear,、Netis,、Oracle、PlaySMS,、Progress,、Pulse Secure、Qualcomm、rConfig,、Realtek,、Roundcube、SaltStack,、SAP,、SIMalliance、SolarWinds,、Sonatype,、SonicWall、Sophos,、Sumavision,、Symantec、TeamViewer,、Telerik,、Tenda、ThinkPHP,、Trend marco,、TVT、Unraid,、vBulletin,、VMware、WordPress,、Yealink,、Zoho (ManageEngine)和ZyXEL全都在列。

  編號為BOD 22-01的(減少已知被利用漏洞的重大風險)約束性操作指令適用于面向互聯(lián)網(wǎng)和非面向互聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)的軟件和硬件,,包括由聯(lián)邦機構(gòu)或代表機構(gòu)的第三方管理的系統(tǒng),。

  該指令的目標是幫助聯(lián)邦機構(gòu)和公共/私營部門組織通過改進他們的漏洞管理實踐和減少他們對網(wǎng)絡攻擊的暴露面來積極應對持續(xù)的威脅活動。

  CISA局長Jen Easterly說:“今天在保護聯(lián)邦民用網(wǎng)絡的約束性操作指令(BOD) 22-01為緩解已知的被利用的漏洞建立了時間框架,,并要求改進漏洞管理程序,。”

  “BOD適用于聯(lián)邦民事機構(gòu),;然而,,所有組織都應該采納這個指令,并優(yōu)先減輕我們公共目錄上列出的漏洞,,這些漏洞正被積極地用于利用公共和私人組織,。”

  各機構(gòu)被要求在兩周內(nèi)修補2021年的漏洞

  CISA公布了數(shù)百個被利用的安全漏洞的目錄,,如果威脅行為者成功地濫用這些漏洞,,政府系統(tǒng)將面臨重大風險,。

  各機構(gòu)被命令按照CISA設定的時間表,對已知被利用的漏洞目錄中列出的安全漏洞進行補救:

  在2021年11月17日之前的兩周內(nèi),,應該修補今年被利用的漏洞,。

  在2020年底之前被利用的漏洞應在2022年5月3日之前的6個月內(nèi)修復。

  目前,,該目錄包括2017-2020年到2021年之間識別的200多個漏洞,,如果符合以下條件,CISA將定期更新新發(fā)現(xiàn)的漏洞:

  該漏洞具有指定的公共漏洞和暴露(CVE) ID,。

  有可靠的證據(jù)表明,,這種脆弱性在野外得到了積極的利用。

  針對該漏洞有一個明確的補救措施,,例如供應商提供的更新,。

  具體措施要求包括:

  1、建立一個持續(xù)修復漏洞的流程,,CISA 通過將其納入CISA管理的已知被利用漏洞目錄,,在 CISA 根據(jù)該指令設定的時間范圍內(nèi)對聯(lián)邦企業(yè)構(gòu)成重大風險;

  2,、根據(jù)本指令的要求,,分配執(zhí)行機構(gòu)行動的角色和職責;

  3,、定義必要的行動,,以便對本指令要求的行動迅速做出反應;

  4,、建立內(nèi)部驗證和執(zhí)行程序,,以確保遵守本指令;

  5,、設置內(nèi)部跟蹤和報告要求,,以評估對本指令的遵守情況,并根據(jù)需要向 CISA 提供報告,。

  他們還必須通過CyberScope或CDM聯(lián)邦儀表盤提交補丁狀態(tài)的季度報告,,對于在2022年10月1日之前還沒有遷移出CyberScope的機構(gòu),,將改為每兩周報告一次,。

  CISA表示:“以前被用于利用公共和私人組織的漏洞,是各種惡意網(wǎng)絡行為者的頻繁攻擊載體,?!?/p>

  “這些漏洞對機構(gòu)和聯(lián)邦企業(yè)構(gòu)成了重大風險。積極補救已知的被利用的漏洞,,以保護聯(lián)邦信息系統(tǒng),,減少網(wǎng)絡事件是至關重要的。”




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com,。