[[433555]]

近日，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了306個(gè)被積極利用的漏洞目錄，并配套出臺(tái)了一系列具有強(qiáng)約束力的操作指令，命令美國聯(lián)邦機(jī)構(gòu)在特定時(shí)間范圍內(nèi)及時(shí)修補(bǔ)這些漏洞。

該目錄包括來自 Adob​​e、Apple、Atlassian、Cisco、Google、IBM、Microsoft、Nagios、Netgear、Oracle、Pulse Secure 等多個(gè)公司的產(chǎn)品漏洞，其中最早的漏洞可追溯到2010年。CISA命令聯(lián)邦機(jī)構(gòu)在6個(gè)月內(nèi)修復(fù)2021年之前分配的CVE(公共漏洞和暴露出弱點(diǎn)的統(tǒng)稱)，并在兩周內(nèi)修復(fù)其他漏洞。如果發(fā)生嚴(yán)重威脅聯(lián)邦機(jī)構(gòu)安全的事件，這些漏洞修補(bǔ)期限也將隨即進(jìn)行調(diào)整。

美國國土安全部發(fā)布的指令中提到：“網(wǎng)絡(luò)攻擊者通常利用已知漏洞發(fā)起各式各樣的網(wǎng)絡(luò)攻擊，這給聯(lián)邦機(jī)構(gòu)帶來較大的安全風(fēng)險(xiǎn)。積極修復(fù)已知漏洞對(duì)保護(hù)聯(lián)邦信息系統(tǒng)、減少安全事件的發(fā)生至關(guān)重要。”

“惡意行為者每天都在利用已知漏洞攻擊聯(lián)邦機(jī)構(gòu)。作為聯(lián)邦網(wǎng)絡(luò)安全運(yùn)營負(fù)責(zé)人，我們正發(fā)布可操作指令，盡量減少惡意行為者積極利用的漏洞，為聯(lián)邦網(wǎng)絡(luò)安全作出自己的努力。”CISA主任Jen Easterly說，“指令明確要求，聯(lián)邦民事機(jī)構(gòu)應(yīng)立即采取行動(dòng)改善其漏洞管理實(shí)踐，大幅減少聯(lián)邦機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。”

雖然該指令只要求聯(lián)邦機(jī)構(gòu)立即采取行動(dòng)，但實(shí)際上所有的機(jī)構(gòu)都應(yīng)該遵從目錄進(jìn)行漏洞修補(bǔ)，因?yàn)槁┒床⒉恢煌{聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)安全，而是所有機(jī)構(gòu)。

參考來源：https://securityaffairs.co/wordpress/124181/security/cisa-exploited-vulnerabilities-catalog.html