同機関は、積極的に悪用されている欠陥の公開カタログを可能な限り包括的にしたいと考えています。
サイバーセキュリティおよびインフラストラクチャセキュリティ機関は、セキュリティ専門家が機関の既知の悪用された脆弱性カタログに脆弱性を指名することができるようにしています。
CISAは木曜日にフォームを公開しました。技術ベンダー、独立した研究者、およびその他の人々がハッカーが脆弱性を悪用していることをCISAに警告し、それがKEVに追加されるべきであることを警告するために使用できます。
「この新しいレポート機能により、CISAは重大な脅威情報を特定、検証、および迅速に共有する能力が向上します」とCISAのサイバーセキュリティ部門の現職執行補助次長クリス・ブテーラ氏は声明で述べています。「早期検出と調整された脆弱性開示は、規模でリスクを軽減するための最も強力なツールの1つです。」
このフォームでは、提出者にCVE番号、悪用の証拠、軽減ガイダンスなど、脆弱性について可能な限り多くの情報を提供するよう求めています。また、脆弱性が複数のベンダーまたは製品に影響を与えるかどうかも尋ねています。
CISAは過去にKEVを最新の状態に保つことに苦労しています。2023年に、CISAが悪用について遅ればせながら警告した複数の事例により、1人の専門家がそれを「ハッキング活動の後付け指標」と呼ぶことになりました。
急速に成長するカタログ
CISAは2021年11月の開始以来、機関が新しく列挙された欠陥を短時間で修正する要件と並行してKEVを着実に拡大しています。木曜日の朝現在、カタログは約1,600の脆弱性をリストしています。CISAは過去2週間でKEVを6回更新し、木曜日に7つの新しい脆弱性をリストしました。
カタログの成長は、別の機関が新しく開示された欠陥の洪水に追いつくのに苦労している中で起こっています。米国国立標準技術研究所は、独自の脆弱性データベースを詳細な悪用と軽減情報で充実させるために何十年も費やしていますが、NISTは最近発表しました。その充実作業を縮小し、最も深刻な欠陥のみを優先する必要があります。
翻訳元: https://www.cybersecuritydive.com/news/cisa-cve-vulnerability-exploitation-nominations/820870/
