美國網(wǎng)絡安全和基礎設施安全局 （CISA）發(fā)布了一份漏洞目錄，其中包括來自 Apple、Cisco、Microsoft 和 Google 的漏洞目錄，這些漏洞已被惡意網(wǎng)絡攻擊者積極利用，此外還要求聯(lián)邦機構優(yōu)先考慮這些漏洞在“激進”的時間范圍內(nèi)為這些安全漏洞應用補丁。

　　這些漏洞造成顯著風險，機構和聯(lián)邦企業(yè)，在周三發(fā)表的綁定操作指令（BOD）。積極修復已知被利用的漏洞以保護聯(lián)邦信息系統(tǒng)并減少網(wǎng)絡事件至關重要。

　　2017 年至 2020 年期間發(fā)現(xiàn)的大約 176 個漏洞以及 2021 年以來的 100 個漏洞已進入初始列表，預計這些漏洞將在已知時更新為其他積極利用的漏洞，前提是這些漏洞已被分配為常見漏洞和暴露（ CVE） 標識符并具有明確的補救措施。

　　綁定指令要求在 2021 年發(fā)現(xiàn)的安全漏洞（被跟蹤為 CVE-2021-XXXXX 的漏洞）在 2021 年 11 月 17 日之前得到解決，同時將其余較舊漏洞的修補截止日期定為 2022 年 5 月 3 日。盡管 BOD 主要針對聯(lián)邦文職機構，但 CISA 建議私營企業(yè)和國家實體審查目錄并修復漏洞，以加強其安全性和彈性狀態(tài)。

　　新戰(zhàn)略還使該機構從基于嚴重性的漏洞修復轉向那些構成重大風險并在現(xiàn)實世界的入侵中被濫用的漏洞修復，因為對手不一定總是只依靠“關鍵”弱點來實現(xiàn)他們的目標，其中一些最廣泛和最具破壞性的攻擊鏈接了多個被評為“高”、“中”甚至“低”的漏洞。

　　“Tripwire 戰(zhàn)略副總裁 Tim Erlin 說：”該指令做了兩件事。首先，它建立了一個商定的正在被積極利用的漏洞列表；其次，它提供了修復這些漏洞的截止日期。通過提供一個通用的漏洞列表作為修復目標，CISA 在優(yōu)先級排序方面有效地為機構提供了公平的競爭環(huán)境。不再由每個機構來決定哪些漏洞是補丁的最高優(yōu)先級?！?/p>