CISA创建已知被利用漏洞的目录并命令联邦机构及时修补一项操作指令,命令美国联邦机构在特定时间范围和截止日期内修补受影响的系统。该目录目前列出了306个漏洞,其中一些漏洞是在2010年发现的,但仍在被外部利用。这包括思科、谷歌、微软、苹果、甲骨文、Adobe、Atlassian、IBM和许多其他大大小小的产品中的漏洞。对于今年披露的漏洞(CVE代码为CVE-2021-*****),CISA已责令美国联邦机构在2021年11月17日之前应用补丁。对于更早的漏洞,各机构必须在2022年5月3日之前修补他们的系统。“这些漏洞给机构带来了重大风险。必须积极修复已知的被利用漏洞,以保护联邦信息系统并减轻网络事件,”CISA在今天的具有约束力的操作命令中表示。在今天宣布该机构新举措的推文中,CISA主任JenEasterly表示,虽然具有约束力的操作指令只能迫使美国联邦机构采取行动,但实际上所有组织都应该采取行动来修补列出的漏洞,因为同样的漏洞也被用来攻击私人实体。在一份新闻稿中,CISA还表示,随着新漏洞被积极利用,他们计划向数据库中添加新条目。为此,CISA还提供了一个RSS提要,让IT和安全团队能够密切关注数据库中的新条目。了解更多:https://www.cisa.gov/known-exploited-vulnerabilities-catalog
