Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε ένα νέο ελάττωμα στον κατάλογό της με τρωτά σημεία που εκμεταλλεύονται – ένα σφάλμα εκτέλεσης απομακρυσμένου κώδικα της Apple WebKit που χρησιμοποιείται για τη στόχευση iPhone, iPad και Mac.
Σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε από την CISA τον Νοέμβριο, οι ομοσπονδιακές υπηρεσίες πρέπει τώρα να επιδιορθώσουν τα συστήματά τους έναντι αυτής της ευπάθειας που εκμεταλλεύεται ενεργά που επηρεάζει τις συσκευές iOS, iPadOS και macOS.
Η CISA είπε ότι όλες οι υπηρεσίες των Ομοσπονδιακών Πολιτικών Εκτελεστικών Υπηρεσιών (FCEB) πρέπει να επιδιορθώσουν την ευπάθεια που παρακολουθείται ως CVE-2022-22620 [1, 2] έως τις 25 Φεβρουαρίου 2022.
“Αυτοί οι τύποι ευπάθειας είναι ένας συχνός φορέας επιθέσεων για κακόβουλες ενέργειες όλων των τύπων και αποτελούν σημαντικό κίνδυνο για την ομοσπονδιακή επιχείρηση», ανέφερε η υπηρεσία κυβερνοασφάλειας.
«Παρόλο που το BOD 22-01 ισχύει μόνο για τις υπηρεσίες FCEB, η CISA προτρέπει σθεναρά όλους τους οργανισμούς να μειώσουν την έκθεσή τους σε κυβερνοεπιθέσεις δίνοντας προτεραιότητα στην έγκαιρη αποκατάσταση των τρωτών σημείων του Καταλόγου ως μέρος της πρακτικής διαχείρισης ευπάθειας».
Χθες, η CISA ζήτησε επίσης από τις υπηρεσίες FCEB να επιδιορθώσουν 15 άλλες ευπάθειες με την ετικέτα ότι τελούν υπό ενεργή εκμετάλλευση, με το CVE-2021-36934 — ένα σφάλμα Microsoft Windows SAM (Security Accounts Manager) που επιτρέπει την κλιμάκωση των προνομίων και την κλοπή διαπιστευτηρίων — έχει προθεσμία για την ενημέρωση κώδικα στις 24 Φεβρουαρίου.