安全库消息,2026年1月8日,美国网络安全和基础设施安全局(CISA)官网发布公告,一次性废止了10项在2019年至2024年间发布的紧急指令。这一行动标志着针对一系列曾构成重大威胁的已知漏洞的紧急响应阶段正式结束,相关缓解措施已常态化或并入更广泛的强制性操作指令中,凸显了网络安全威胁从应急响应到常态化治理的转变。
主要内容:
此次被废止的10项紧急指令(ED)曾针对多个影响广泛的关键漏洞发布,包括SolarWinds Orion供应链攻击、微软Exchange服务器漏洞、VMware产品漏洞以及影响Windows DNS、Netlogon和打印后台处理程序服务的高危漏洞。这些漏洞大多在被发现后遭到快速利用,对政府网络构成了严重且迫切的威胁。
与特定常见漏洞和暴露(CVE)相关的紧急指令已被撤销,因为这些漏洞现已纳入CISA的已知被利用漏洞(KEV)目录。这些指令包括2002、2003、2004、2102、2103、2104和2203号的ED指令。对于ED1901、2101和2402,CISA认定其目标已达成,要求已不再符合当前风险态势,且实践变化使指令变得过时。
以下紧急指令现已正式关闭:
- ED 19-01:缓解DNS基础设施被篡改
- ED 20-02:缓解2020年1月补丁星期二的Windows漏洞
- ED 20-03:缓解Windows DNS服务器漏洞,2020年7月补丁星期二
- ED 20-04:缓解Netlogon特权提升漏洞,2020年8月补丁星期二
- ED 21-01:缓解SolarWinds猎户座代码泄露
- ED 21-02:缓解Microsoft Exchange本地产品漏洞
- ED 21-03:缓解脉冲连接安全产品漏洞
- ED 21-04:缓解Windows打印排画器服务漏洞
- ED 22-03:防范VMware漏洞
- ED 24-02:降低Microsoft企业邮件系统被国家级攻破带来的重大风险
CISA表示,经过全面审查,这些指令所要求的应对行动已成功实施,或其核心要求现已纳入具有持续效力的《约束性操作指令22-01》中。该指令以CISA的“已知被利用漏洞”目录为基础,强制要求联邦文职机构在规定时限内修补目录中列出的漏洞。
根据BOD 22-01的规定,对于2021年之前的漏洞,机构通常有最多6个月的修补时间;而对于较新的漏洞,修补期限缩短至两周。对于极高风险的漏洞,CISA可设定更紧迫的时间表,例如近期曾要求机构在一天内修补Cisco设备中两个被积极利用的漏洞。此举旨在将针对已知高危漏洞的防护从临时应急状态,转变为联邦机构必须持续遵守的标准化、强制性安全基线。
