La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha publicado un catálogo público de vulnerabilidades explotadas conocidas.
Las agencias civiles y federales del gobierno de los Estados Unidos son requeridas para que, con base en el catálogo, identifiquen y corrijan, en sus sistemas de información, las vulnerabilidades catalogadas.
Sin embargo, el catálogo de vulnerabilidades explotadas conocidas puede ser aprovechado por las empresas privadas revisen, monitoreen, y remedien las vulnerabilidades enumeradas para fortalecer su postura de seguridad y resiliencia.
CISA actualizará el catálogo con vulnerabilidades explotadas adicionales a medida que sean conocidas, previa revisión ejecutiva de CISA y que satisfagan lo siguiente:
- La vulnerabilidad tiene asignado un identificador de vulnerabilidades y exposiciones comunes (CVE).
- Existe evidencia confiable de que la vulnerabilidad ha sido explotada activamente.
- Existe una acción de corrección clara para la vulnerabilidad, como una actualización proporcionada por el proveedor.
El Catálogo de Vulnerabilidades Explotadas Conocidas cuenta con más de 300 vulnerabilidades, incluyendo para productos de Cisco, Google, Microsoft, Apple, Oracle, Adobe, Atlassian, IBM, entre otros.
Las vulnerabilidades explotadas conocidas deben ser la máxima prioridad para la corrección. Según un estudio de datos históricos de vulnerabilidades hasta 2019, los atacantes han utilizado solo el 4% del número total de vulnerabilidades.