美国CISA 列出300个已遭利用漏洞，督促组织机构及时修复

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该清单目前包括的漏洞源自如下厂商的产品：Adobe、Apple、Apache、Android、Arcadyan、Arm、Atlassian、BQE、Cisco、Citrix、D-Link、DNN、Docker、DrayTek、Drupal、ExifTool、Exim、EyesOfNetwork、F5、ForgeRock、Fortinet、Google、IBM、ImageMagick、Ivanti、Kaseya、LifeRay、McAfee、Micro Focus、Microsoft、Mozilla、Nagios、Netgear、Netis、Oracle、PlaySMS、Progress、Pulse Secure、Qualcomm、rConfig、Realtek、Roundcube、SaltStack、SAP、SIMalliance、SolarWinds、Sonatype、SonicWall、Sophos、Sumavision、Symantec、TeamViewer、Telerik、Tenda、ThinkPHP、Trend Micro、TVT、Unraid、vBulletin、VMware、WordPress、Yealink、Zoho (ManageEngine) 和 ZyXEL。

CISA 将持续更新该清单。入选清单的漏洞需要具有在野利用证据、存在补丁或缓解措施.以及存在CVE编号。

CISA 已发布 BOD 22-01 “降低已知遭利用漏洞的重大风险”，指导联邦民用机构在60天内根据指令，审计并更新内部的漏洞管理程序。同时该指令给出每个漏洞的修复指南并要求这些机构报告进展。在2021年前发布CVE编号的漏洞要求在6个月内修复，而在2021年发布编号的漏洞要求在两周内修复。

该清单中为每个漏洞都列出最后的修复期限，具体来说，今年发现的漏洞必须在2021年11月17日之前修复，而其它漏洞须在2022年5月3日前修复。其中一些漏洞应该已经按照CISA之前发布的紧急指令予以修复。

虽然CISA目前仅要求联邦机构按照该 BOD 采取措施，但“强烈建议”私营企业和其他政府组织机构同样这样做，“不能仅仅关注具有具体CVSS评分的漏洞，CISA 发布的漏洞已经具有已知 exploit 且正遭恶意利用，因此需要修复“。CISA 还补充道，”BOD 22-01 督促联邦机构缓解这些漏洞，因为这些机构的网络很可能遭破坏性入侵，国内所有组织机构都应当马上修复正在造成危害的漏洞，同时CISA 也会根据我们对对手活动的理解，持续对漏洞做出优先级排序。“