Geral 2min de Leitura - 11 de novembro de 2021

CISA lista 300 vulnerabilidades exploradas que as organizações precisam corrigir

CISA

This post is also available in: Português

A CISA (Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos), divulgou no dia início desse mês uma lista com cerca de 300 vulnerabilidades que foram exploradas, e emitiu uma diretriz operacional obrigatória (BOD), instruindo organizações governamentais a corrigir essas falhas de segurança.

Atualmente, o catalogo inclui vulnerabilidades encontradas em produtos da Accellion, Adobe, Apple, Apache, Android, Arcadyan, Arm, Atlassian, BQE, Cisco, Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5 , ForgeRock, Fortinet, Google, IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla, Nagios, Netgear, Netis, Oracle, PlaySMS, Progress, Pulse Secure, Qualcomm, rConfig, Realtek, Roundcube, SaltStack , SAP, SIMalliance, SolarWinds, Sonatype, SonicWall, Sophos, Sumavision, Symantec, TeamViewer, Telerik, Tenda, ThinkPHP, Trend Micro, TVT, Unraid, vBulletin, VMware, WordPress, Yealink, Zoho (ManageEngine) e ZyXEL.

CISA

CISA lista
Exemplos de vulnerabilidades presentes na lista.

A lista de vulnerabilidades exploradas conhecidas da CISA, será continuamente atualizada. Os critérios para uma falha ser adicionada à lista incluem evidencias confiáveis de exploração, a disponibilidade de patches ou atenuações e a existência de um identificador CVE.

A CISA emitiu o BOD 22-01, com o título “Reduzindo o risco significativo de vulnerabilidades exploradas conhecidas”, que instrui as agências civis federais a revisar e atualizar seus procedimentos internos de gerenciamento de vulnerabilidades de acordo com a diretriz, no prazo de 60 dias.

Ele também instrui as organizações a corrigir cada vulnerabilidade e relatar seu status. Falhas com um identificador CVE atribuído antes de 2021 precisarão ser corrigidas dentro de 6 meses, enquanto as falhas com CVEs de 2021, precisarão ser resolvidos dentro de duas semanas.

A lista da CISA especifica o prazo de correção para cada vulnerabilidade. Dia 17 de novembro de 2021 para bugs de segurança identificados este ano, e 3 de maio de 2022, para outras vulnerabilidades.

Algumas questões já devem ser tratadas, conforme exigido pelas diretrizes de emergência anteriores da CISA.

Recomendação a empresas privadas

Embora apenas as agências civis federais sejam forçadas pelo BOD a agir, a CISA recomenda que as empresas privadas e outras organizações governamentais, também tomem medidas para lidar com as vulnerabilidades.

Segundo a CISA, em vez de se concentrar apenas em vulnerabilidades que carregam uma pontuação CVS especifica, ela está direcionando vulnerabilidades para remediação que têm exploits conhecidos e estão sendo ativamente explorados por ciberciminosos maliciosos.

Fontes: CISA, SecurityWeek

This post is also available in: Português