《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美國CISA命令聯(lián)邦機(jī)構(gòu)緊急修復(fù)數(shù)百個(gè)正在被利用的安全漏洞

美國CISA命令聯(lián)邦機(jī)構(gòu)緊急修復(fù)數(shù)百個(gè)正在被利用的安全漏洞

2021-11-04
來源:網(wǎng)空閑話
關(guān)鍵詞: 安全漏洞

  CISA發(fā)布了今年的第一個(gè)約束性操作指令(BOD),命令聯(lián)邦民事機(jī)構(gòu)在規(guī)定的時(shí)間范圍內(nèi)消除安全漏洞。根據(jù)CISA管理的漏洞目錄中規(guī)定的時(shí)間表修復(fù)每個(gè)漏洞,。該目錄詳細(xì)列出對(duì)聯(lián)邦企業(yè)帶來重大風(fēng)險(xiǎn)的已利用漏洞,,并要求在6個(gè)月內(nèi)修復(fù)具有2021年之前分配的通用漏洞和暴露 (CVE) ID編號(hào)的漏洞,并在即日起兩周內(nèi)修復(fù)所有其他漏洞,。在聯(lián)邦企業(yè)面臨嚴(yán)重風(fēng)險(xiǎn)的情況下,,可能會(huì)調(diào)整這些默認(rèn)時(shí)間表。與指令一同發(fā)布的需要修復(fù)的漏洞清單上有近300個(gè)漏洞,,涉及幾乎所有的IT大廠,。Accellion, Adobe,Apple,,Apache, Android, Arcadyan, Arm, Atlassian, BQE,,Cisco,Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5, ForgeRock, Fortinet,,Google,,IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla、Nagios,、Netgear,、Netis、Oracle,、PlaySMS,、Progress、Pulse Secure,、Qualcomm,、rConfig、Realtek,、Roundcube,、SaltStack,、SAP、SIMalliance,、SolarWinds,、Sonatype、SonicWall,、Sophos,、Sumavision、Symantec,、TeamViewer,、Telerik、Tenda,、ThinkPHP,、Trend marco、TVT,、Unraid,、vBulletin、VMware,、WordPress,、Yealink、Zoho (ManageEngine)和ZyXEL全都在列,。

  編號(hào)為BOD 22-01的(減少已知被利用漏洞的重大風(fēng)險(xiǎn))約束性操作指令適用于面向互聯(lián)網(wǎng)和非面向互聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)的軟件和硬件,,包括由聯(lián)邦機(jī)構(gòu)或代表機(jī)構(gòu)的第三方管理的系統(tǒng)。

  該指令的目標(biāo)是幫助聯(lián)邦機(jī)構(gòu)和公共/私營部門組織通過改進(jìn)他們的漏洞管理實(shí)踐和減少他們對(duì)網(wǎng)絡(luò)攻擊的暴露面來積極應(yīng)對(duì)持續(xù)的威脅活動(dòng),。

  CISA局長Jen Easterly說:“今天在保護(hù)聯(lián)邦民用網(wǎng)絡(luò)的約束性操作指令(BOD) 22-01為緩解已知的被利用的漏洞建立了時(shí)間框架,,并要求改進(jìn)漏洞管理程序?!?/p>

  “BOD適用于聯(lián)邦民事機(jī)構(gòu),;然而,所有組織都應(yīng)該采納這個(gè)指令,,并優(yōu)先減輕我們公共目錄上列出的漏洞,,這些漏洞正被積極地用于利用公共和私人組織?!?/p>

  各機(jī)構(gòu)被要求在兩周內(nèi)修補(bǔ)2021年的漏洞

  CISA公布了數(shù)百個(gè)被利用的安全漏洞的目錄,,如果威脅行為者成功地濫用這些漏洞,政府系統(tǒng)將面臨重大風(fēng)險(xiǎn),。

  各機(jī)構(gòu)被命令按照CISA設(shè)定的時(shí)間表,,對(duì)已知被利用的漏洞目錄中列出的安全漏洞進(jìn)行補(bǔ)救:

  在2021年11月17日之前的兩周內(nèi),應(yīng)該修補(bǔ)今年被利用的漏洞。

  在2020年底之前被利用的漏洞應(yīng)在2022年5月3日之前的6個(gè)月內(nèi)修復(fù),。

  目前,,該目錄包括2017-2020年到2021年之間識(shí)別的200多個(gè)漏洞,如果符合以下條件,,CISA將定期更新新發(fā)現(xiàn)的漏洞:

  該漏洞具有指定的公共漏洞和暴露(CVE) ID,。

  有可靠的證據(jù)表明,這種脆弱性在野外得到了積極的利用,。

  針對(duì)該漏洞有一個(gè)明確的補(bǔ)救措施,,例如供應(yīng)商提供的更新。

  具體措施要求包括:

  1,、建立一個(gè)持續(xù)修復(fù)漏洞的流程,CISA 通過將其納入CISA管理的已知被利用漏洞目錄,,在 CISA 根據(jù)該指令設(shè)定的時(shí)間范圍內(nèi)對(duì)聯(lián)邦企業(yè)構(gòu)成重大風(fēng)險(xiǎn),;

  2、根據(jù)本指令的要求,,分配執(zhí)行機(jī)構(gòu)行動(dòng)的角色和職責(zé),;

  3、定義必要的行動(dòng),,以便對(duì)本指令要求的行動(dòng)迅速做出反應(yīng),;

  4、建立內(nèi)部驗(yàn)證和執(zhí)行程序,,以確保遵守本指令,;

  5、設(shè)置內(nèi)部跟蹤和報(bào)告要求,,以評(píng)估對(duì)本指令的遵守情況,,并根據(jù)需要向 CISA 提供報(bào)告。

  他們還必須通過CyberScope或CDM聯(lián)邦儀表盤提交補(bǔ)丁狀態(tài)的季度報(bào)告,,對(duì)于在2022年10月1日之前還沒有遷移出CyberScope的機(jī)構(gòu),,將改為每兩周報(bào)告一次。

  CISA表示:“以前被用于利用公共和私人組織的漏洞,,是各種惡意網(wǎng)絡(luò)行為者的頻繁攻擊載體,。”

  “這些漏洞對(duì)機(jī)構(gòu)和聯(lián)邦企業(yè)構(gòu)成了重大風(fēng)險(xiǎn),。積極補(bǔ)救已知的被利用的漏洞,,以保護(hù)聯(lián)邦信息系統(tǒng),減少網(wǎng)絡(luò)事件是至關(guān)重要的,?!?/p>




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]