A CISA egy ismert kihasznált sebezhetőséget adott hozzá a katalógushoz.
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.
A CISA egy új sebezhetőséget adott hozzá a Tudományosan Kihasznált Sebezhetőségek (KEV) katalógusához, aktív kihasználáson alapuló bizonyítékok alapján. CVE-2026-48558 Egyszerű Segítségnyújtó Hitelesítési Megkerülési Sebezhetőség Ez a fajta sebezhetőség gyakori támadási vektor a rosszindulatú kiberügyfelek számára, és jelentős kockázatot jelent a szövetségi vállalatok számára. A 26-04-es Kötési Műveleti Irányelv: A biztonsági frissítések kockázat szerinti priorizálása megalapozza a sebezhetőségkezelési követelményeket a Szövetségi Polgári Végrehajtó Ág (FCEB) ügynökségek számára. A 26-04-es BOD megerősíti a KEV katalógus fontosságát, és megköveteli a szövetségi ügynökségektől, hogy előnyben részesítsék a magas kockázatú sebezhetőségek gyors javítását, különösen azokat, amelyeket a CISA KEV Katalógusában feltüntetett Közönséges Sebezhetőségek és Expozíciók (CVE-k) az állami kitettségű eszközökön az eszköz kihasználása utáni teljes irányítás biztosítása mellett, míg az alacsonyabb kockázatú sebezhetőségek esetén késleltetik az intézkedéseket. A BOD 26-04 további alapvető elvárásokat határoz meg arra vonatkozóan, mikor kell az ügynökségeknek ellenőrizniük, hogy a fenyegető szereplők megsértették-e a rendszert, mielőtt a javítócsomagot alkalmazták volna. Bár a BOD 26-04 csak az FCEB ügynökségekre vonatkozik, a CISA arra bátorítja a szervezeteket, hogy alkalmazzanak kockázat alapú sebezhetőségkezelést, és priorizálják a KEV Katalógus sebezhetőségeinek javítását. A CISA továbbra is hozzá fogja adni azokat a sebezhetőségeket a katalógushoz, amelyek megfelelnek a megadott kritériumoknak. Tud róla, hogy egy kihasznált sebezhetőség jelenleg nem szerepel a KEV Katalógusban? Küldje el a CISA KEV Jelölési űrlapján keresztül a potenciális hozzáadás érdekében. A potenciális KEV-höz való hozzáadásoknak CVE azonosítóval, kihasználás bizonyítékával és világos enyhítési útmutatóval kell rendelkezniük.
Külső link: cisa.gov
Kapcsolódó cikkek
cybersecurity
A JadePuffer zsarolóvírus mesterséges intelligencia ügynököt használt az egész támadás automatizálására.
cybersecurity
Az Egyesült Államok kormánya 1 millió dollárt fizetett a Kairosnak adatlopási zsarolási ügyben.
cybersecurity
