• 發布單位:TWCERT/CC
• 更新日期:2021-11-09
• 點閱次數:3409

美國資安主管機關網路安全暨基礎設施安全局，日前發布今年首次的強制性操作指引，命令美國聯邦政府民事相關機關，必須在短時間內針對多個資安漏洞進行處理。

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA），日前發布今年首次的強制性操作指引（Binding Operational Directive，BOD），命令美國聯邦政府民事相關機關，必須在短時間內針對多個資安漏洞進行處理。

這份編號為 BOD-22-01 的指引，全名為「降低已知遭利用漏洞的顯著風險」（Reducing the Significant Risk of Known Exploited Vulnerabilities），適用於由各聯邦機關自行操作，或交由第三方代管理的所有連網或非連網資訊系統的硬體與軟體；所有受此命令規範的單位，必須在期限內依照指引，即刻處理表列清單中的各種漏洞。

CISA 同時也公告了一份含有數百個已知遭駭侵攻擊活動利用過的漏洞清單，供各公私單位參考；清單中列明有漏洞的軟硬體產品與系統範圍甚廣，其中也包括部分台灣廠商的產品；較知名者包括 Adobe、Android、Apache、Apple、Arm、Atlassian、Cisco、Citrix、D-Link、Dreytek、Fortinet、Google、IBM、Microsoft、Mozilla、Netgear、Oracle、Pulse、Qualcomm、Realtek、SAP、SolarWinds、SonicWall、Sophos、Symantec、TeamViewer、TrendMicro、VMware、WordPress、Zoho、ZyXEL 等。

CISA 在這項命令中要求，在 2021 年遭到駭侵攻擊活動利用的漏洞，必須在 11 月 17 日前修補完成；而在去年年底之前遭到駭侵攻擊活動利用的漏洞，則須在 2022 年 5 月 3 日前完成修補。