Siden november i fjor har amerikanske Cybersecurity and Infrastructure Security Agency (CISA) vedlikeholdt en liste over sårbarheter det er kjent at blir utnyttet i angrep. Tilknyttet hver av oppføringene er også en tidsfrist for å installere sikkerhetsoppdateringer som fjerner den aktuelle sårbarheten. Denne fristen er offentlige, amerikanske etater forpliktet til å overholde, men CISA anbefaler også alle andre å prioritere patching av sårbarhetene som er oppgitt i listen.
Dette har ikke blitt mindre aktuelt av den senere tids hendelser med Russland i hovedrollen, heller ikke for norske virksomheter.
Hemmer forsvarsevnen, mener forsker: – Man kan bruke cyberangrep til å få folk til å løpe rundt som hodeløse høns
95 nye oppføringer
Etter lanseringen av listen har CISA stadig utvidet den. Men torsdag denne uken kom den trolig største oppdateringen av listen til nå. Hele 95 «nye» sårbarheter har blitt lagt til. Dette er altså sårbarheter som er offentlig kjent og som hyppig blir utnyttet av ondsinnede cyberaktører.
Tidsfristen CISA har gitt offentlige virksomheter til å fjerne de fleste av sårbarhetene som ble lagt til i går, er 24. mars. Men for en del av dem er tidsfristen en uke kortere, den 17. mars.
Sårbarhetene fordeler seg på en rekke forskjellige produkter. Det er lite sannsynlig at alle er berørt av samtlige, og forhåpentligvis har de fleste allerede for lengst fjernet dem ved å installere sikkerhetsoppdateringene da de kom.
Opptil 20 år gamle
For selv om noen av sårbarhetene først nylig har blitt oppdaget, er det andre som har vært kjent i lang tid. Den aller eldste i denne omgangen er en Windows-sårbarhet som ble oppdaget i 2002. Den berører ingen Windows-versjoner nyere enn Windows 2000. Men fortsatt blir den altså utnyttet i angrep, noe som tyder på at Windows NT eller Windows 2000 fortsatt er i bruk noen steder.
Blant de 95 sårbarhetene som nå har blitt lagt til, er det også flere andre som berører Windows eller andre Microsoft-produkter. Med er også en rekke sårbarheter i produkter fra Cisco, Adobe, Oracle, samt enkeltsårbarheter i helt andre program- eller fastvareprodukter.
Alt i alt består CISAs liste av 478 sårbarheter. Den blir utvidet med ujevne mellomrom, men ofte flere ganger i uken.
Rekordstor sikkerhetstest på Andøya i gang