CISA добавила две известные эксплуатируемые уязвимости в каталог

Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило две новые уязвимости в свой Каталог известных эксплуатируемых уязвимостей (KEV). Эти уязвимости, идентифицированные как CVE-2025-32433 и CVE-2024-42009, связаны с Erlang Erlang/OTP SSH Server и RoundCube Webmail, соответственно. Добавление этих уязвимостей основано на доказательствах активной эксплуатации, что представляет значительные риски для федеральных предприятий. Уязвимости этого типа часто становятся целью злоумышленников, что делает их частым вектором атак. Каталог KEV был создан Директивой по обязательным операциям (BOD) 22-01 для предоставления постоянно обновляемого списка известных общих уязвимостей и рисков (CVE), которые несут значительный риск. BOD 22-01 требует от федеральных гражданских органов исполнительной власти (FCEB) устранять выявленные уязвимости к установленному сроку, чтобы защитить свои сети от активных угроз. CISA настоятельно призывает все организации в приоритетном порядке своевременно устранять уязвимости, содержащиеся в Каталоге KEV, в рамках своей практики управления уязвимостями. Хотя BOD 22-01 применяется только к агентствам FCEB, CISA призывает все организации принимать проактивные меры для снижения своей уязвимости к кибератакам. Каталог KEV будет и впредь пополняться уязвимостями, отвечающими установленным критериям, помогая организациям оставаться в курсе потенциальных угроз. Уделяя первоочередное внимание устранению уязвимостей, содержащихся в Каталоге KEV, организации могут защитить себя от активных угроз и снизить риск кибератак.