轉載「美國資安主管機關下令各單位立即修補已遭用於攻擊之漏洞」訊息

 【國際政府組織資安資訊】

🔪🔪🔪美國資安主管機關下令各單位立即修補已遭用於攻擊之漏洞🕳🕳🕳

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA） 日前下達命令，要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單（Known Exploited Vulnerabilities, KEV）的 12 個以上資安漏洞，其中包括 Google Chrome 0-day 漏洞。

這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊，其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593，以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。

其他於此次列入清單中的漏洞，還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞（CVE-2022-9934）、Oracle WebLogic Server 的不明漏洞（CVE-2018-2628）、Android OS 權限提升漏洞（CVE-2011-1823）等。

雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力，但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令，參考其資安防護指引修補漏洞，並強化自身的駭侵攻擊防禦能力。

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-6495-333c5-1.html