CISA要求美联邦-机关限时修补290项高风险软硬件漏洞

美国网络安全暨基础架构管理署（CISA）昨（3）日发布今年第1次约束性作业指引（binding operational directive，BOD），要求联邦-各部会应在一定期间内，修补去年及今年内遭到开采的软、硬件漏洞，新漏洞得在2周内修补完成。

BOD是为确保美国联邦-资讯及资讯系统之安全，针对联邦-、行政部门、各部会发布的强制指令。名为《减低已知被开采漏洞之重大风险》、编号22-01的BOD指出，过去曾被开采以骇入公、私部门机构的漏洞，是各类骇客经常使用的攻击管道，因此有必要积极修补已知曾遭开采的漏洞，以确保联邦-资讯系统安全，减少网络攻击事件。

CISA也建立了一个对美国-有重大风险的已知被开采漏洞数据库。该数据库包含美国-使用的产品之已知、且传出被骇的数百项安全漏洞，影响产品从Accellion档案分享平台 FTA、SolarWinds、SonicWall VPN产品SMA1000、F5 BIG-IP、到iOS、Android、Exchange Server、Azure Open Management Infrastructure (OMI)、Google Chrome、Pulse Connect Secure、Oracle WebLogic、Apache HTTP Server等。

目前这个数据库包含200个、在2017年到2020年发现的漏洞，而今年发现的则有90个，但是有许多漏洞虽是今年以前发现，却是今年被开采。

CISA要求，今年内被开采的漏洞，应在2周内，即2021年11月17日修补。而2020年底以前遭开采的漏洞，则应在6个月内，即2022年5月3日以前修补完成。

这项指引也要求联邦-机关从现在起60天之内，检讨与更新内部漏洞管理程序。而且未来也必须每季1次透过自动系统，报告这份指引的执行情况，若不使用自动系统的单位，从明年10月起就得2周交一次报告。