美国联邦机构被命令修补数百个被积极利用的漏洞

美国网络安全和基础设施安全局（CISA）发布了一份漏洞目录，其中包括来自苹果、思科、微软和谷歌的漏洞，这些漏洞已知并正被恶意网络参与者积极利用，除了要求联邦机构在“积极”的时间范围内优先为这些安全缺陷应用补丁之外

“这些漏洞对机构和联邦企业构成重大风险，”该机构在周三发布的具有约束力的运营指令（BOD）中表示。“积极修复已知被利用的漏洞，以保护联邦信息系统，减少网络事件，这一点至关重要。”

在2017到2020之间发现了大约176个漏洞，2021个漏洞中有100个已经进入初始列表，如果已为这些漏洞分配了通用漏洞和暴露（CVE）标识符，并采取了明确的补救措施，则当这些漏洞被发现时，这些漏洞预计会被更新为其他被积极利用的漏洞

绑定指令要求安全漏洞在2021和8212中被发现；被追踪为CVE-2021-XXXXX—；在2021年11月17日之前解决，同时为剩余的旧漏洞设置2022年5月3日的修补截止日期。尽管董事会主要针对联邦民事机构，但CISA建议私营企业和国家实体审查目录并修复漏洞，以加强其安全性和弹性

“该指令有两个作用。首先，它建立了一个被积极利用的漏洞的商定列表，”Tripwire战略副总裁蒂姆·埃尔林说。“其次，它提供了修复这些漏洞的截止日期。通过提供一份通用的漏洞列表，CISA可以有效地为机构在优先级方面提供公平的竞争环境。不再由每个机构来决定哪些漏洞是最优先修复的。”