Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) ανακοίνωσε την Τρίτη ότι έχει προσθέσει 15 ευπάθειες στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών της.
Περισσότερα από 500 ελαττώματα ασφαλείας έχουν προστεθεί στη λίστα “Must-Patch” από τον Νοέμβριο του 2021, όταν η CISA το ανακοίνωσε για πρώτη φορά, μαζί με την δεσμευτική επιχειρησιακή οδηγία 22-01, η οποία απαιτεί από τις ομοσπονδιακές υπηρεσίες να λάβουν έγκαιρα μέτρα για την αντιμετώπιση των εντοπισμένων ζητημάτων.
Τα ελαττώματα που προστέθηκαν πρόσφατα – ένα που επηρεάζει το SonicWall SonicOS και το 14 που επηρεάζει τα Microsoft Windows – είναι παλαιότερα ζητήματα, ορισμένα από τα οποία έχουν επιδιορθωθεί για περισσότερο από μισή δεκαετία.
Η τρύπα ασφαλείας του SonicOS (CVE-2020-5135) μπορεί να αξιοποιηθεί για επιθέσεις DoS και αυθαίρετη εκτέλεση κώδικα. Τα ελαττώματα των Windows – που διορθώθηκαν μεταξύ 2016 και 2019 – μπορούν όλα να οδηγήσουν σε κλιμάκωση των προνομίων.
Η CISA ζητά από τις ομοσπονδιακές υπηρεσίες να αντιμετωπίσουν τα νέα ελαττώματα ασφαλείας που επισημάνθηκαν έως τις 5 Απριλίου, κάτι που προκαλεί έκπληξη, δεδομένου ότι προηγουμένως οι οργανισμοί είχαν δοθεί μισό χρόνο για να επιλύσουν παλαιότερα ελαττώματα.
Παρόλο που η CISA δημιούργησε τον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών για να βοηθήσει τις ομοσπονδιακές υπηρεσίες με τις λειτουργίες διαχείρισης ευπάθειας, συνιστάται σε όλους τους οργανισμούς να αναθεωρήσουν τη λίστα και να αντιμετωπίσουν τα ελαττώματα που εντοπίστηκαν το συντομότερο δυνατό.
Τον Ιανουάριο, η υπηρεσία είπε στο SecurityWeek ότι έχει στοιχεία ότι όλα τα τρωτά σημεία που περιλαμβάνονται στη λίστα Must-Patch έχουν εκμεταλλευτεί σε επιθέσεις, ακόμα κι αν καμία δημόσια αναφορά δεν αναφέρει εκμετάλλευση για ορισμένες από αυτές.
Ο κατάλογος, είπε η CISA, δημιουργήθηκε για να βοηθήσει τους οργανισμούς τόσο του δημόσιου όσο και του ιδιωτικού τομέα να μειώσουν την έκθεση σε κυβερνοεπιθέσεις βελτιώνοντας τις δυνατότητες διαχείρισης ευπάθειας.
