Η CISA επεκτείνει τον κατάλογο τρωτών σημείων… με παλιές ευπάθειες

Του Στάθη Ασπιώτη

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) των ΗΠΑ πρόσθεσε έξι γνωστά ελαττώματα στον Known Exploited Vulnerabilities Catalog στις 15 Σεπτεμβρίου 2022.

«Αυτοί οι τύποι τρωτών σημείων είναι ένας συχνός φορέας επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και αποτελούν σημαντικό κίνδυνο για την Ομοσπονδία», λέει η CISA.

Ενώ η CISA ενημερώνει τακτικά τον κατάλογο ευπαθειών της, ορισμένα από τα ελαττώματα που προστέθηκαν πρόσφατα είναι αρκετά παλιά: τρία που επηρεάζουν τον πυρήνα του Linux, ένα που επηρεάζει το πρόγραμμα οδήγησης ήχου Code Aurora ACDB (το οποίο υπάρχει σε προϊόντα τρίτων, συμπεριλαμβανομένων των Qualcomm και Android) και έναν κίνδυνο απομακρυσμένης εκτέλεσης κώδικα στα Microsoft Windows.

Σύμφωνα με ειδικούς, αυτό δείχνει ότι αρκετές εταιρείες δυσκολεύονται πολύ να κατανοήσουν πλήρως τις υποδομές IT που διαθέτουν, να διατηρήσουν ενημερωμένα αυτά τα στοιχεία πληροφορικής ή να μετριάσουν επαρκώς τα ζητήματα για να μην υπάρχει κίνδυνος παραβίασης.

Η επιδιόρθωση γνωστών τρωτών σημείων είναι ένας από τους καλύτερους τρόπους αποτροπής επιθέσεων, αλλά πολλές εταιρείες δυσκολεύονται να συμβαδίσουν. Ομοίως, συστήματα στο τέλος του κύκλου ζωής τους θα πρέπει να αντικατασταθούν ή να ενσωματωθούν, εάν εξακολουθούν να είναι χρήσιμα στις επιχειρήσεις.

Η CISA δημοσίευσε επίσης πρόσφατα νέες οδηγίες για να βοηθήσει τους προγραμματιστές να βελτιώσουν την αλυσίδα εφοδιασμού λογισμικού (software supply chain). Το έγγραφο ήταν το αποτέλεσμα μιας συνεργασίας μεταξύ της CISA, της NSA και του ODN (Office of the Director of National Intelligence).

Τεύχος 134