按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

美國資安主管機關下令各單位立即修補已遭用於攻擊之漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-09-12
  • 點閱次數:2827
美國資安主管機關下令各單位立即修補已遭用於攻擊之漏洞 TWCERT/CC

美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA) 日前下達命令,要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單(Known Exploited Vulnerabilities, KEV)的 12 個以上資安漏洞,其中包括 Google Chrome 0-day 漏洞。

這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊,其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593,以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。

其他於此次列入清單中的漏洞,還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞(CVE-2022-9934)、Oracle WebLogic Server 的不明漏洞(CVE-2018-2628)、Android OS 權限提升漏洞(CVE-2011-1823)等。

根據 CISA 指出,在該局將最新漏洞加入其「已知遭攻擊漏洞」清單後,所有聯邦旗下的民事相關單位,都必須依照於去(2021)年 11 月頒布的強制操作指引(Binding Operational Directives, BOD) 22-01 之規定,限期完成新加入漏洞的修補作業。

以這次的情形而言,各聯邦所屬單位將有三星期的時間完成各項修補作業,最遲應於 11 月 29 日前全部完成。

雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力,但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令,參考其資安防護指引修補漏洞,並強化自身的駭侵攻擊防禦能力。

回頁首