• 發布單位:TWCERT/CC
• 更新日期:2022-09-12
• 點閱次數:6953

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA） 日前下達命令，要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單（Known Exploited Vulnerabilities, KEV）的 12 個以上資安漏洞，其中包括 Google Chrome 0-day 漏洞。

這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊，其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593，以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。

其他於此次列入清單中的漏洞，還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞（CVE-2022-9934）、Oracle WebLogic Server 的不明漏洞（CVE-2018-2628）、Android OS 權限提升漏洞（CVE-2011-1823）等。

根據 CISA 指出，在該局將最新漏洞加入其「已知遭攻擊漏洞」清單後，所有聯邦旗下的民事相關單位，都必須依照於去（2021）年 11 月頒布的強制操作指引（Binding Operational Directives, BOD) 22-01 之規定，限期完成新加入漏洞的修補作業。

以這次的情形而言，各聯邦所屬單位將有三星期的時間完成各項修補作業，最遲應於 11 月 29 日前全部完成。

雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力，但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令，參考其資安防護指引修補漏洞，並強化自身的駭侵攻擊防禦能力。