Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) δημοσίευσε έναν κατάλογο ευπαθειών, συμπεριλαμβανομένων των Apple, Cisco, Microsoft και Google, που έχουν γνωστά exploits και τα οποία εκμεταλλεύονται ενεργά κακόβουλοι φορείς του κυβερνοχώρου και επιπλέον απαιτείται από τις ομοσπονδιακές υπηρεσίες να δώσουν προτεραιότητα εφαρμόζοντας ενημερώσεις κώδικα για αυτά τα ελαττώματα ασφαλείας μέσα σε σύντομα χρονικά περιθώρια.
«Αυτά τα τρωτά σημεία θέτουν σε σημαντικό κίνδυνο τις υπηρεσίες και την ομοσπονδιακή επιχείρηση», ανέφερε η υπηρεσία σε μια δεσμευτική επιχειρησιακή οδηγία (BOD) που εκδόθηκε την Τετάρτη. «Είναι σημαντικό να αποκατασταθούν άμεσα τα γνωστά τρωτά σημεία που χρησιμοποιούνται για την προστασία των ομοσπονδιακών συστημάτων πληροφοριών και τη μείωση των περιστατικών στον κυβερνοχώρο».
Περίπου 176 ευπάθειες που εντοπίστηκαν μεταξύ 2017 και 2020 και 100 ελαττώματα από το 2021 έχουν φτάσει στην αρχική λίστα, η οποία αναμένεται να ενημερωθεί με πρόσθετες ευπάθειες που εκμεταλλεύονται ενεργά.
Η δεσμευτική οδηγία ορίζει ότι τα τρωτά σημεία ασφαλείας που ανακαλύφθηκαν το 2021 — αυτά που παρακολουθούνται ως CVE-2021-XXXXX — πρέπει να αντιμετωπιστούν έως τις 17 Νοεμβρίου 2021, ενώ θέτει προθεσμία επιδιόρθωσης έως τις 3 Μαΐου 2022 για τα υπόλοιπα παλαιότερα τρωτά σημεία. Αν και το BOD απευθύνεται κυρίως σε ομοσπονδιακές μη στρατιωτικές υπηρεσίες, η CISA συνιστά στις ιδιωτικές επιχειρήσεις και τις κρατικές οντότητες να επανεξετάσουν τον κατάλογο και να αποκαταστήσουν τα τρωτά σημεία για να ενισχύσουν τη στάση τους για ασφάλεια και ανθεκτικότητα.
Η νέα στρατηγική προβλέπει επίσης ότι ο οργανισμός απομακρύνεται από την αποκατάσταση ευπάθειας με βάση τη σοβαρότητα σε εκείνες που ενέχουν σημαντικό κίνδυνο και υφίστανται κατάχρηση σε πραγματικές εισβολές, υπό το φως του γεγονότος ότι οι αντίπαλοι δεν βασίζονται απαραίτητα μόνο σε «κρίσιμες» αδυναμίες για να επιτύχουν τους στόχους τους, με μερικές από τις πιο διαδεδομένες και καταστροφικές επιθέσεις που προκαλούν πολλαπλές ευπάθειες που χαρακτηρίζονται ως «υψηλό», «μέτριο» ή ακόμη και «χαμηλό».
“Αυτή η οδηγία κάνει δύο πράγματα. Πρώτον, καθιερώνει μια συμφωνημένη λίστα τρωτών σημείων που αξιοποιούνται ενεργά”, δήλωσε ο Tim Erlin, Αντιπρόεδρος Στρατηγικής της Tripwire. “Δεύτερον, παρέχει προθεσμίες για την αποκατάσταση αυτών των τρωτών σημείων. Παρέχοντας μια κοινή λίστα τρωτών σημείων που πρέπει να στοχεύσουν για αποκατάσταση, η CISA ισοπεδώνει αποτελεσματικά τους όρους ανταγωνισμού για τις υπηρεσίες όσον αφορά την ιεράρχηση προτεραιοτήτων. Δεν εξαρτάται πλέον από κάθε μεμονωμένη υπηρεσία να αποφασίσει ποιες ευπάθειες είναι η ύψιστη προτεραιότητα για επιδιόρθωση.”