美国CISA在“已知被利用漏洞目录”中新增17个被主动利用的漏洞。这些漏洞是威胁行为者在攻击中滥用的已知漏洞列表,需要由联邦民事执行委员会(FCEB)机构解决。根据具有约束力的操作指令(BOD)22-01:减轻已知被利用漏洞的重大风险,FCEB机构有最后期限来解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。专家还建议私人组织审查已知被利用漏洞的目录并解决其基础设施中的漏洞。本周,网络安全和基础设施安全局(CISA)在其目录中添加了17个被主动利用的漏洞。编目漏洞总数达到341个。CISA必须在2022年2月1日之前解决本周添加的17个漏洞中的10个。本周添加的问题之一是10月CMS中的一个漏洞,该漏洞被追踪为CVE-2021-32648,最近在针对乌克兰政府网站的攻击中被利用。CISA还添加了一个漏洞,跟踪为CVE-2021-35247,SolarWinds最近在其Serv-U产品中解决了该漏洞,威胁参与者正在野外积极利用该漏洞。该公司指出,所有攻击尝试都失败了。
