Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) απέσυρε 10 Οδηγίες Έκτακτης Ανάγκης που εκδόθηκαν μεταξύ 2019 και 2024, αναφέροντας ότι οι απαιτούμενες ενέργειες έχουν ολοκληρωθεί ή καλύπτονται πλέον από τη δεσμευτική επιχειρησιακή οδηγία 22-01.
Η CISA είπε ότι αυτός είναι ο μεγαλύτερος αριθμός Οδηγιών Έκτακτης Ανάγκης που έχει κλείσει κάθε φορά.
“Με νόμο, η CISA εκδίδει Οδηγίες Έκτακτης Ανάγκης για να μετριάσει γρήγορα τις αναδυόμενες απειλές και να ελαχιστοποιήσει τον αντίκτυπο περιορίζοντας τις οδηγίες στο συντομότερο δυνατό χρονικό διάστημα.” εξηγεί η CISA.
«Μετά από μια ολοκληρωμένη αναθεώρηση όλων των ενεργών οδηγιών, η CISA διαπίστωσε ότι οι απαιτούμενες ενέργειες έχουν εφαρμοστεί επιτυχώς ή καλύπτονται πλέον μέσω Δεσμευτική Επιχειρησιακή Οδηγία (BOD) 22-01, Μείωση του σημαντικού κινδύνου των γνωστών εκμεταλλευόμενων τρωτών σημείων. “
Η δεσμευτική επιχειρησιακή οδηγία 22-01 χρησιμοποιεί τις υπηρεσίες του οργανισμού Κατάλογος Known Exploited Vulnerabilities (KEV). για να ειδοποιήσει τις ομοσπονδιακές μη στρατιωτικές υπηρεσίες για ελαττώματα που εκμεταλλεύονται ενεργά και πότε πρέπει να διορθωθούν τα συστήματα εναντίον τους.
Οι οδηγίες έκτακτης ανάγκης προορίζονται για την αντιμετώπιση επειγόντων κινδύνων και παραμένουν σε ισχύ μόνο για όσο διάστημα χρειάζεται.
Ο πλήρης κατάλογος των Οδηγιών Έκτακτης Ανάγκης που έκλεισε σήμερα είναι:
- ΕΔ 19-01: Μετριάστε την παραβίαση υποδομής DNS
- ΕΔ 20-02: Μετριάστε τα τρωτά σημεία των Windows από την Τρίτη του Ιανουαρίου 2020
- ΕΔ 20-03: Μετριάστε την ευπάθεια του Windows DNS Server από την Τρίτη ενημέρωση Ιουλίου 2020
- ΕΔ 20-04: Μετριάστε το Netlogon Elevation of Privilege Vulnerability από τον Αύγουστο 2020 Patch Tuesday
- ΕΔ 21-01: Μετριάστε το SolarWinds Orion Code Compromise
- ΕΔ 21-02: Μετριάστε τα τρωτά σημεία προϊόντος του Microsoft Exchange On-Premises
- ΕΔ 21-03: Μετριάστε τα τρωτά σημεία του ασφαλούς προϊόντος Pulse Connect
- ΕΔ 21-04: Μετριάστε την ευπάθεια της υπηρεσίας ουράς εκτύπωσης των Windows
- ΕΔ 22-03: Μετριάστε τα τρωτά σημεία του VMware
- ΕΔ 24-02: Μετριασμός του σημαντικού κινδύνου από συμβιβασμό έθνους-κράτους του συστήματος εταιρικού ηλεκτρονικού ταχυδρομείου της Microsoft
Πολλές από αυτές τις οδηγίες αντιμετώπιζαν τρωτά σημεία που αξιοποιήθηκαν γρήγορα και αποτελούν πλέον μέρος του καταλόγου KEV της CISA.
Σύμφωνα με το BOD 22-01, οι ομοσπονδιακές μη στρατιωτικές υπηρεσίες υποχρεούνται να επιδιορθώνουν τα τρωτά σημεία που αναφέρονται στον κατάλογο KEV με συγκεκριμένες ημερομηνίες που ορίζει η CISA. Από προεπιλογή, οι εταιρείες έχουν στη διάθεσή τους έως και έξι μήνες για να διορθώσουν ελαττώματα που έχουν εκχωρηθεί σε CVE πριν από το 2021, ενώ τα νεότερα ελαττώματα επιδιορθώνονται εντός δύο εβδομάδων.
Ωστόσο, η CISA μπορεί να ορίσει σημαντικά μικρότερα χρονοδιαγράμματα επιδιόρθωσης όταν κρίνεται υψηλού κινδύνου.
Σε ένα πρόσφατο παράδειγμα, οι εταιρείες έπρεπε να επιδιορθώσουν τις συσκευές Cisco που επηρεάζονταν από τις ευπάθειες CVE-2025-20333 και CVE-2025-20362 που έχουν εκμεταλλευτεί ενεργά εντός μίας ημέρας.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
