| 3 ноября 2021 г. — 7:01 утра по тихоокеанскому времени
Агентство по обеспечению кибербезопасности и инфраструктуры США (CISA) выпустило Обязательную операционную директиву, требующую от федеральных агентств применить 24 исправления безопасности Apple.
Срок для некоторых из них — 17 ноября, менее чем через две недели.
Директива является обязательной для федеральных агентств и рекомендуется всем организациям. Издание The Record отмечает, что Apple является одной из компаний, чьи исправления должны быть применены.
Агентство по обеспечению кибербезопасности и инфраструктуры США сегодня создало публичный каталог уязвимостей, известных тем, что они эксплуатируются в реальных условиях, и выпустило обязательную операционную директиву, предписывающую федеральным агентствам США устранять уязвимости в затронутых системах в определенные сроки и даты.
Каталог, доступный онлайн здесь, в настоящее время содержит 306 уязвимостей, некоторые из которых датируются 2010 годом, но все еще эксплуатируются в реальных условиях.
Это включает уязвимости для продуктов Cisco, Google, Microsoft, Apple, Oracle, Adobe, Atlassian, IBM и многих других компаний, как крупных, так и малых.
Для уязвимостей, раскрытых в этом году (с кодом CVE CVE-2021-***), CISA предписало федеральным гражданским агентствам США применить исправления до 17 ноября 2021 года.
Для более старых уязвимостей агентства должны исправить системы до 3 мая 2022 года.
«Эти уязвимости представляют значительный риск для агентств и федерального предприятия. Крайне важно агрессивно устранять известные уязвимости, которые эксплуатируются, чтобы защитить федеральные информационные системы и снизить количество киберинцидентов», — говорится в обязательной операционной директиве CISA.
В директиве говорится, что «крайне важно агрессивно устранять известные уязвимости, которые эксплуатируются».
Соединенные Штаты сталкиваются с постоянными и все более изощренными злонамеренными киберкампаниями, которые угрожают государственному сектору, частному сектору и, в конечном итоге, безопасности и конфиденциальности американского народа. Федеральное правительство должно улучшить свои усилия по защите от этих кампаний, обеспечив безопасность информационно-технологических активов во всем федеральном предприятии.
Уязвимости, которые ранее использовались для эксплуатации государственных и частных организаций, являются частым вектором атаки для злонамеренных киберпреступников всех типов. Эти уязвимости представляют значительный риск для агентств и федерального предприятия. Крайне важно агрессивно устранять известные уязвимости, которые эксплуатируются, чтобы защитить федеральные информационные системы и снизить количество киберинцидентов.
Директор CISA Джен Истерли говорит, что федеральные агентства подвергаются атакам ежедневно.
Каждый день наши противники используют известные уязвимости для атаки на федеральные агентства. Как операционный руководитель по федеральной кибербезопасности, мы используем наши директивные полномочия для направления усилий по кибербезопасности на устранение тех конкретных уязвимостей, которые, как мы знаем, активно используются злонамеренными киберпреступниками.
Полный список уязвимостей можно посмотреть здесь.