[[433555]]

近日，美國網絡安全與基礎設施安全局(CISA)發布了306個被積極利用的漏洞目錄，并配套出臺了一系列具有強約束力的操作指令，命令美國聯邦機構在特定時間范圍內及時修補這些漏洞。

該目錄包括來自 Adob​​e、Apple、Atlassian、Cisco、Google、IBM、Microsoft、Nagios、Netgear、Oracle、Pulse Secure 等多個公司的產品漏洞，其中最早的漏洞可追溯到2010年。CISA命令聯邦機構在6個月內修復2021年之前分配的CVE(公共漏洞和暴露出弱點的統稱)，并在兩周內修復其他漏洞。如果發生嚴重威脅聯邦機構安全的事件，這些漏洞修補期限也將隨即進行調整。

美國國土安全部發布的指令中提到：“網絡攻擊者通常利用已知漏洞發起各式各樣的網絡攻擊，這給聯邦機構帶來較大的安全風險。積極修復已知漏洞對保護聯邦信息系統、減少安全事件的發生至關重要。”

“惡意行為者每天都在利用已知漏洞攻擊聯邦機構。作為聯邦網絡安全運營負責人，我們正發布可操作指令，盡量減少惡意行為者積極利用的漏洞，為聯邦網絡安全作出自己的努力。”CISA主任Jen Easterly說，“指令明確要求，聯邦民事機構應立即采取行動改善其漏洞管理實踐，大幅減少聯邦機構遭受網絡攻擊的風險。”

雖然該指令只要求聯邦機構立即采取行動，但實際上所有的機構都應該遵從目錄進行漏洞修補，因為漏洞并不只威脅聯邦機構的網絡安全，而是所有機構。

參考來源：https://securityaffairs.co/wordpress/124181/security/cisa-exploited-vulnerabilities-catalog.html