Las Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado el listado que detalla las vulnerabilidades más explotadas 2021, demostrando una vez más cómo los actores de amenazas pueden convertir en armas las fallas reveladas públicamente en su beneficio rápidamente.
El listado actual considera 344 productos con una amplia gama de software, incluido el trabajo remoto, VPN y las tecnologías basadas en la nube, que cubren un amplio espectro de productos de Accellion, Adobe, Apple, Apache, Android, Arcadyan, Arm, Atlassian, BQE, Cisco, Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5, ForgeRock, Fortinet, Google, IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla, Nagios, Netgear, Netis, Oracle, PlaySMS, Progress, Pulse Secure, Qualcomm, rConfig, Realtek, Roundcube, SaltStack, SAP, SIMalliance, SolarWinds, Sonatype, SonicWall, Sophos, Sumavision, Symantec, TeamViewer, Telerik, Tenda, ThinkPHP, Trend Micro, TVT, Unraid, vBulletin, VMware, WordPress, Yealink, Zoho (ManageEngine), y ZyXEL.
CISA ha emitido BOD 22-01, denominado «Reducción del riesgo significativo de vulnerabilidades explotadas conocidas», que instruye a las agencias civiles federales a revisar y actualizar sus procedimientos internos de gestión de vulnerabilidades de acuerdo con la directiva dentro de los 60 días.