CISA ให้เวลาหน่วยงาน 1 วันในการแก้ไขช่องโหว่เซิร์ฟเวอร์ DNS ของ Windows

CISA ให้เวลาหน่วยงาน 1 วันในการแก้ไขช่องโหว่เซิร์ฟเวอร์ DNS ของ Windows

หน่วยงานต่าง ๆ ต้องเผชิญกับการตอบสนองอย่างรวดเร็วเพื่อแก้ไขช่องโหว่ที่รู้จักในเซิร์ฟเวอร์ Windows Domain Name SystemCybersecurity and Infrastructure Security Agency ภายใต้คำสั่งฉุกเฉินได้ให้เวลาหน่วยงานจนถึงเวลา 14.00 น. ในวันศุกร์ที่ 17 กรกฎาคม เพื่อปรับใช้แพตช์ที่ออกเมื่อวันอังคาร — หรือ “วิธีแก้ปัญหาชั่วคราวตามรีจิสทรี” — สำหรับ Windows Servers ที่ใช้ DNS

“CISA ระบุว่าช่องโหว่นี้ก่อให้เกิดความเสี่ยงที่สำคัญอย่าง

ไม่สามารถยอมรับได้ต่อฝ่ายบริหารพลเรือนของรัฐบาลกลาง และจำเป็นต้องดำเนินการทันทีและฉุกเฉิน” หน่วยงานดังกล่าวเขียนไว้ในคำสั่งฉุกเฉิน

CISA ออกคำสั่งฉุกเฉิน “โดยพิจารณาจากโอกาสที่ช่องโหว่จะถูกโจมตี การใช้ซอฟต์แวร์ที่ได้รับผลกระทบอย่างกว้างขวางทั่วทั้งองค์กรของรัฐบาลกลาง ศักยภาพสูงในการประนีประนอมระบบข้อมูลของหน่วยงาน และผลกระทบร้ายแรงของการประนีประนอมที่ประสบความสำเร็จ”

        CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น

ซีไอเอสเอ

Chris Krebs เป็นผู้อำนวยการ CISA ที่ DHS

Chris Krebs ผู้อำนวยการ CISA เขียนในบล็อกโพสต์แยกต่างหากว่า นี่เป็นคำสั่งฉุกเฉินฉบับที่สามที่เขาอนุมัติระหว่างดำรงตำแหน่ง

ในเดือนมกราคมCISA กำหนดให้มี “การดำเนินการฉุกเฉิน”

จากหน่วยงานเกี่ยวกับช่องโหว่ของระบบปฏิบัติการ Windows ของ Microsoft โดยให้เวลาเพียงไม่กี่วันในการประเมินขอบเขตของช่องโหว่และ 10 วันในการแก้ไขหรือแก้ไขจุดสิ้นสุดที่ได้รับผลกระทบทั้งหมด

การอัปเดตซอฟต์แวร์เซิร์ฟเวอร์ DNS ของ Windows ระบุถึงช่องโหว่สำคัญที่ผู้โจมตีจากระยะไกลสามารถโจมตีเพื่อเข้าควบคุมระบบที่ได้รับผลกระทบและเรียกใช้รหัสโดยอำเภอใจในบริบทของบัญชีระบบภายในเครื่อง

“มันถือเป็นช่องโหว่ที่ ‘สามารถโจมตีได้’” Krebs เขียน “มันสามารถทำงานได้อย่างอิสระและเผยแพร่สำเนาไปยังระบบที่มีช่องโหว่อื่น ๆ — และส่งผลกระทบต่อ Windows Server ทุกรุ่นที่เปิดใช้งานบทบาท DNS”

หน่วยงาน CIO มีเวลาจนถึงวันที่ 24 กรกฎาคมในการส่งรายงานฉบับสมบูรณ์ไปยัง CISA ซึ่งยืนยันว่าการอัปเดตได้นำไปใช้กับปลายทางที่ได้รับผลกระทบทั้งหมดแล้ว

ตั้งแต่วันที่ 13 สิงหาคม Krebs จะติดต่อกับหัวหน้าเจ้าหน้าที่สารสนเทศและเจ้าหน้าที่ระดับสูงของหน่วยงานเพื่อจัดการความเสี่ยงในหน่วยงานที่ยังไม่ปฏิบัติตามข้อกำหนดทั้งหมดของคำสั่งฉุกเฉิน

ยูฟ่าสล็อต