หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาได้ประกาศยกเลิกคำสั่งฉุกเฉิน (Emergency Directives) จำนวน 10 ฉบับที่ออกมาระหว่างปี 2019 ถึง 2024 ซึ่งถือเป็นการปิดคำสั่งฉุกเฉินจำนวนมากที่สุดในครั้งเดียว CISA ระบุว่ามาตรการที่จำเป็นภายใต้คำสั่งเหล่านี้ได้ดำเนินการเสร็จสมบูรณ์แล้ว หรือถูกครอบคลุมโดย Binding Operational Directive (BOD) 22-01 ซึ่งเป็นแนวทางปฏิบัติที่กำหนดให้หน่วยงานพลเรือนของรัฐบาลกลางต้องแก้ไขช่องโหว่ที่ถูกใช้ในการโจมตี (Known Exploited Vulnerabilities) ตามรายการในแคตตาล็อก KEV ของ CISA ภายในเวลาที่กำหนด
Severity: ปานกลาง
System Impact:
- โครงสร้างพื้นฐาน DNS
- ระบบปฏิบัติการ Windows (ช่องโหว่จาก Patch Tuesday เดือนมกราคม 2020, ช่องโหว่เซิร์ฟเวอร์ DNS ของ Windows, ช่องโหว่ Netlogon Elevation of Privilege, ช่องโหว่บริการ Print Spooler ของ Windows)
- ระบบ SolarWinds Orion
- ผลิตภัณฑ์ Microsoft Exchange On-Premises
- ผลิตภัณฑ์ Pulse Connect Secure
- ระบบ VMware
- ระบบอีเมลองค์กรของ Microsoft (จากการถูกบุกรุกโดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ)
- อุปกรณ์ Cisco (ตัวอย่างช่องโหว่ที่ต้องแก้ไขตาม BOD 22-01)
Technical Attack Steps:
Recommendations:
Short Term:
- หน่วยงานรัฐบาลกลางควรแก้ไขช่องโหว่ที่ถูกระบุในแคตตาล็อก Known Exploited Vulnerabilities (KEV) ของ CISA โดยเร็วที่สุด โดยเฉพาะช่องโหว่ที่มีความเสี่ยงสูงอาจมีกรอบเวลาแก้ไขที่สั้นมาก (เช่น ภายในหนึ่งวันสำหรับช่องโหว่ Cisco ที่ถูกใช้ในการโจมตี)
- ช่องโหว่ใหม่ๆ ที่อยู่ใน KEV ควรได้รับการแก้ไขภายในสองสัปดาห์
Long Term:
- ปฏิบัติตาม Binding Operational Directive (BOD) 22-01 อย่างต่อเนื่อง เพื่อลดความเสี่ยงจากช่องโหว่ที่ถูกใช้ในการโจมตี
- จัดตั้งกระบวนการจัดการช่องโหว่ที่แข็งแกร่งและสอดคล้องกับแคตตาล็อก KEV
- ช่องโหว่ที่ถูกกำหนดให้เป็น CVE ก่อนปี 2021 ควรได้รับการแก้ไขภายในหกเดือน
Share this content: