Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έχει προσθέσει 95 ευπάθειες στη λίστα με τα ζητήματα ασφάλειας που αξιοποιούνται ενεργά – έναν πραγματικά μεγάλο αριθμό.

Δείτε επίσης: CISA: Κυκλοφόρησε λίστα με δωρεάν εργαλεία και υπηρεσίες κυβερνοασφάλειας

Παρά το γεγονός ότι ορισμένα από αυτά είναι γνωστά εδώ και σχεδόν δύο δεκαετίες, η υπηρεσία σημειώνει ότι τα σφάλματα «ενέχουν σημαντικό κίνδυνο για τους οργανισμούς».

Κρίσιμα σφάλματα που προστέθηκαν πρόσφατα στη λίστα

Σύμφωνα με το BOD 22-01 για τη μείωση του κινδύνου από γνωστές εκμεταλλευόμενες ευπάθειες, δίνεται στις ομοσπονδιακές υπηρεσίες λίγο περισσότερο από τρεις εβδομάδες για να επιδιορθώσουν τις 95 ευπάθειες που προστέθηκαν πρόσφατα στην λίστα της CISA, με την ημερομηνία λήξης για τα περισσότερα από αυτές να είναι η 24η Μαρτίου.

Δείτε επίσης: CISA: Οι ομοσπονδιακές υπηρεσίες πρέπει να επιδιορθώσουν τα σφάλματα Chrome και Magento

Για 27 από τα τρωτά σημεία, υπάρχει μικρότερη προθεσμία για την ενημέρωση κώδικα, η 17η Μαρτίου, κυρίως επειδή είναι πιο πρόσφατες και επηρεάζουν συστήματα που παρέχουν πρόσβαση σε ευαίσθητες πληροφορίες ή επιτρέπουν τη μετακίνηση σε συσκευές στο δίκτυο. Οκτώ από αυτά τα σφάλματα έχουν υψηλή βαθμολογία κρίσιμης σοβαρότητας (τουλάχιστον 9,8).

Οι πιο πρόσφατες καταχωρίσεις στον κατάλογο γνωστών εκμεταλλευόμενων τρωτών σημείων της CISA επηρεάζουν προϊόντα κυρίως από τη Microsoft (Windows, Office) και τη Cisco.

Ωστόσο, υπάρχουν προϊόντα από άλλους προμηθευτές ή projects – Oracle, Adobe, Mozilla, Siemens, Apache, Exim, Linux, Treck TCP/IP stack και ChakraCore.

Εξακολουθούν να υπάρχουν αρχαία ελαττώματα

Παραδόξως, φαίνεται ότι οι ομοσπονδιακοί φορείς εξακολουθούν να εκτελούν συστήματα με το Adobe Flash Player, αν και η υποστήριξη για το προϊόν σταμάτησε την τελευταία ημέρα του 2020.

Η Adobe στις αρχές του 2021 απέκλεισε και την εκτέλεση περιεχομένου Flash στο Flash Player και η εταιρεία “συνιστά σε όλους τους χρήστες να το απεγκαταστήσουν αμέσως” λόγω εγγενών κινδύνων ασφαλείας.

Ορισμένα από τα σφάλματα του Flash Player που εντόπισε η CISA έχουν βαθμολογία κρίσιμης σοβαρότητας 9,8 στα 10 και είναι ηλικίας άνω των πέντε ετών (π.χ. CVE-2016-4117 και CVE-2016-1019).

Η παλαιότερη ευπάθεια στη λίστα είναι από το 2002, ωστόσο, μια ευπάθεια κλιμάκωσης προνομίων που παρακολουθείται ως CVE-2002-0367 που επηρεάζει το debugging subsystem smss.exe στα Windows NT και Windows 2000.

Δείτε επίσης: CISA και FBI: Data wiping επιθέσεις θα εμφανιστούν και εκτός Ουκρανίας

Η παρακάτω λίστα παραθέτει τα παλαιότερα 10 τρωτά σημεία που πρόσθεσε η CISA στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών:

Η εφαρμογή ενημερωμένων εκδόσεων ασφαλείας όταν γίνονται διαθέσιμες θα πρέπει να αποτελεί προτεραιότητα για οργανισμούς τόσο του δημόσιου όσο και του ιδιωτικού τομέα.

Η υπηρεσία κυβερνοασφάλειας των ΗΠΑ ενθαρρύνει όλες τις οντότητες να διορθώσουν όλα τα ζητήματα ασφάλειας που προστέθηκαν στον κατάλογό της για να μειώσουν την έκθεσή τους σε κυβερνοεπιθέσεις.

Πηγή πληροφοριών: bleepingcomputer.com