美国网络安全与基础设施安全局 (CISA) 将两处已知被利用的漏洞添加到其目录中。

美国网络安全与基础设施安全局 (CISA) 已在其已知漏洞利用目录中添加了两个新的漏洞，恶意网络行为者正在积极利用这些漏洞。这两个漏洞分别是 CVE-2024-53197 和 CVE-2024-53150，分别为 Linux 内核越界访问漏洞和读取漏洞。这类漏洞是常见的攻击媒介，对联邦企业构成重大风险。已知漏洞利用目录是根据约束性业务指令 (BOD) 22-01 建立的，旨在降低已知漏洞对联邦企业的风险。BOD 22-01 要求联邦文职行政部门 (FCEB) 机构在指定的截止日期前修复已识别的漏洞，以保护其网络免受主动威胁。虽然 BOD 22-01 仅适用于 FCEB 机构，但 CISA 强烈敦促所有组织将及时修复目录中的漏洞作为其漏洞管理实践的一部分。CISA 将继续向目录中添加符合指定标准的漏洞。该目录是已知常见漏洞和暴露 (CVE) 的动态列表，这些漏洞对联邦企业构成重大风险。FCEB 机构必须在截止日期前修复已识别的漏洞，以遵守 BOD 22-01。CISA 的目标是通过促进及时修复目录中的漏洞来降低网络攻击的风险。