https://www.informationsecurity.com.tw/seminar/2024_Digicentre/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

美國資安主管機關下令各單位立即修補已遭用於攻擊之漏洞

2022 / 09 / 12
編輯部
美國資安主管機關下令各單位立即修補已遭用於攻擊之漏洞
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA) 日前下達命令,要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單(Known Exploited Vulnerabilities, KEV)的 12 個以上資安漏洞,其中包括 Google Chrome 0-day 漏洞。

這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊,其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593,以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。

其他於此次列入清單中的漏洞,還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞(CVE-2022-9934)、Oracle WebLogic Server 的不明漏洞(CVE-2018-2628)、Android OS 權限提升漏洞(CVE-2011-1823)等。

根據 CISA 指出,在該局將最新漏洞加入其「已知遭攻擊漏洞」清單後,所有聯邦旗下的民事相關單位,都必須依照於去(2021)年 11 月頒布的強制操作指引(Binding Operational Directives, BOD) 22-01 之規定,限期完成新加入漏洞的修補作業。

以這次的情形而言,各聯邦所屬單位將有三星期的時間完成各項修補作業,最遲應於 11 月 29 日前全部完成。

雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力,但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令,參考其資安防護指引修補漏洞,並強化自身的駭侵攻擊防禦能力。

本文轉載自TWCERT/CC。