CISA: Ret disse sårbarheder

Af Eskil Sørensen, 08/11/21

CISA oplister 300 udnyttede sårbarheder, som beordres rettet i føderale enheder.

USA's svar på Center for Cybersikkerhed, CISA (Cybersecurity and Infrastructure Security Agency) har udgivet en liste over omkring 300 sårbarheder, der vides at være blevet udnyttet. I forbindelse med udgivelsen har CISA udstedt et såkaldt bindende operationelt direktiv med en instruktion til føderale regeringsenheder om at rette op på sikkerhedsfejlene.

Listen indeholder i øjeblikket produkter fra Accellion, Adobe, Apple, Apache, Android, Arcadyan, Arm, Atlassian, BQE, Cisco, Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5 , ForgeRock, Fortinet, Google, IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla, Nagios, Netgear, Netis, Oracle, PlaySMS, Progress, Pulse Secure, Qualcomm, rConfig, Realtek, Roundcube, SaltStack , SAP, SIMalliance, SolarWinds, Sonatype, SonicWall, Sophos, Sumavision, Symantec, TeamViewer, Telerik, Tenda, ThinkPHP, Trend Micro, TVT, Unraid, vBulletin, VMware, WordPress, Yealink, Zoho (ManageEngine) og ZyXEL.

Kriterierne for, at en sårbarhed kommer på listen, er, at der er beviser for, at der har fundet udnyttelser sted, at der findes patches eller afhjælpende rettelser, og at sårbarhederne har et CVE-nummer. Det fremgår yderligere af Security Week, at listen løbende bliver opdateret.

Direktivet, som har fået titlen 'Reducing the Significant Risk of Known Exploited Vulnerabilities', instruerer føderale enheder i at gennemgå og opdatere interne sårbarhedshåndteringsprocedurer i overensstemmelse med direktivet inden for 60 dage, ligesom der skal raporteres om sårbarhedernes status. Fejl fra før 2021 skal rettes inden for seks måneder, mens problemerne med CVE'er fra 2021 skal løses inden for to uger.

Mens CISA kun har myndighed til at udstede direktiver overfor føderale enheder, anbefaler CISA ’på det kraftigste’, at private virksomheder og andre offentlige organisationer tager skridt til at rette sårbarhederne. Det fremgår også, at CVSS-scoren, der på en skala fra 1-10 vurderer sårbarhedernes alvorlighedsgrad, ikke har den store betydning for listen. I stedet er listen lavet ud fra kendte udnyttelser, der bliver aktivt udnyttet af ondsindede cyberaktører, og ud fra de rettelser der er tilgængelige.

Links:

https://www.securityweek.com/cisa-lists-300-exploited-vulnerabilities-organizations-need-patch

Keywords: 
sårbarheder
cisa